Настройка winlogbeat для контроллеров домена

Elastic In Your Native Tongue Вопросы на русском языке
1

Привет. Подскажите как правильно настроить. Есть сервер srvlog, он собирает все логи с контроллеров домена (forward event).
Как настроить WinLogbeat для отправки логов, полученных этим сервером?
Моя конфигурация сейчас:
winlogbeat.event_logs:

  • имя: Приложение
    ignore_older: 72h
  • имя: Безопасность
  • имя: Система

Теги не указаны

output.logstash:
хосты: ["192.168.1.4:5044"]

logging.level: info
logging.to_files: true
logging.files:
путь: C:/Program Files/Winlogbeat/logs
name: winlogbeat
keepfiles: 7

Мне нужно получать события для авторизации и доступа пользователей AD

2

Прежде всего, если отправка событий в Logstash не идет, нужно посмотреть логи самого winlogbeat. В Вашем случае, логи можно найти тут: C:/Program Files/Winlogbeat/logs
Если ошибок нет, то нужно смотреть Logstash.
Если ошибки есть, то посмотреть на что ругается Winlogbeat.
Как пример можно использовать код ниже, единственная разница, что там использовались собственные журналы событий.

winlogbeat.event_logs:
  - name: Account Managment
  - name: Authentication
  - name: Explicit Credentials
  - name: Log Deletion Security
  - name: Log Deletion System
  - name: Registry
  - name: Services
  - name: Shares
  - name: USB

  # The Logstash hosts
  hosts: ["ip_addr:5044"]
3

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.