Настройка winlogbeat для контроллеров домена

holpa · January 12, 2022, 5:42am

Привет. Подскажите как правильно настроить. Есть сервер srvlog, он собирает все логи с контроллеров домена (forward event).
Как настроить WinLogbeat для отправки логов, полученных этим сервером?
Моя конфигурация сейчас:
winlogbeat.event_logs:

имя: Приложение
ignore_older: 72h
имя: Безопасность
имя: Система

Теги не указаны

output.logstash:
хосты: ["192.168.1.4:5044"]

logging.level: info
logging.to_files: true
logging.files:
путь: C:/Program Files/Winlogbeat/logs
name: winlogbeat
keepfiles: 7

Мне нужно получать события для авторизации и доступа пользователей AD

isebolit86 · January 28, 2022, 12:16pm

Прежде всего, если отправка событий в Logstash не идет, нужно посмотреть логи самого winlogbeat. В Вашем случае, логи можно найти тут: C:/Program Files/Winlogbeat/logs
Если ошибок нет, то нужно смотреть Logstash.
Если ошибки есть, то посмотреть на что ругается Winlogbeat.
Как пример можно использовать код ниже, единственная разница, что там использовались собственные журналы событий.

winlogbeat.event_logs:
  - name: Account Managment
  - name: Authentication
  - name: Explicit Credentials
  - name: Log Deletion Security
  - name: Log Deletion System
  - name: Registry
  - name: Services
  - name: Shares
  - name: USB

  # The Logstash hosts
  hosts: ["ip_addr:5044"]

system · February 25, 2022, 12:17pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.