Windows 시스템 및 ELK Entegrasyonu

4125 단어 elkwindowswinlogbeat
Windows sistemlerin ELK'ya log gönderebilmesi için yapılması gereken işlemler aşağıdaki gibidir.

Adım 1 - 쿠루룸


  • Winlogbeat Windows zip dosyasını resmi indirme sayfasından indirin.
  • Zip 파일은 C:\Program Files 파일에 저장되어 있습니다.
  • winlogbeat- dizinini Winlogbeat olarak yeniden adlandırın.
  • PowerShell은 PowerShell을 활성화하고 동시에 Yönetici Olarak을 활성화합니다. Windows XP는 PowerShell'i indirip yüklemeniz gerekebilir.
  • Winlogbeat'i bir Windows hizmeti olarak kurmak için aşağıdaki komutları çalıştırın:

  • PS C:\Users\Administrator> cd 'C:\Program Files\Winlogbeat'
    PS C:\Program Files\Winlogbeat> .\install-service-winlogbeat.ps1
    
    Security warning
    Run only scripts that you trust. While scripts from the internet can be useful,
    this script can potentially harm your computer. If you trust this script, use
    the Unblock-File cmdlet to allow the script to run without this warning message.
    Do you want to run C:\Program Files\Winlogbeat\install-service-winlogbeat.ps1?
    [D] Do not run  [R] Run once  [S] Suspend  [?] Help (default is "D"): R
    
    Status   Name               DisplayName
    ------   ----               -----------
    Stopped  winlogbeat         winlogbeat
    


    Sisteminizde betik çalıştırma devre dışı bırakılmışsa, betik dosyasının çalışmasına izin vermek için geçerli oturumda yetki vermek için aşağıdaki komutu çalıştırmanız gerekir.

     PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1
    


    Adım 2 - Winlogbeat'i Yapılandırması


  • Winlogbeat는 C:\Program Files\Winlogbeat에서 winlogbeat.yml 파일을 불러올 수 있습니다.
  • event_logs bölümünde, izlemek istediğiniz olay günlüklerini belirtin. Varsayılan olarak Winlogbeat, uygulama, güvenlik ve sistem günlüklerini izleyecek şekilde ayarlanmıştır:

  • winlogbeat.event_logs:
      - name: Application
      - name: Security
      - name: System
    


    Adım 3 - Çıktıyı yapılandırın


  • Veriler dizine eklenmeden önce filtreleri çalıştırma seçeneğimiz olması için Logstash'a göndereceğiz.
    Elasticsearch는 블로우누 요럼단 칼디린입니다.

  • ## Comment out elasticsearch output
    #output.elasticsearch:
    #  hosts: ["localhost:9200"]
    


    Yukarıdaki blok aşağıdaki şekilde güncellenmelidir. Aşağıdaki sunucuya LOGSTACH_IP_ADRES 및 LOGSTASH_PORT alanları doğru olarak yazılmalıdır.

    output.logstash:
        hosts: ["LOGSTACH_IP_ADRES:LOGSTASH_PORT"]
        loadbalance: true
        ssl.enabled: true
    


    Adım 4 - Yapılandırmayı doğrulayın



    Yapılandırma dosyasının doğru ayarlanıp ayarlanmadığını kontrol edelim.

    PS C:\Program Files\Winlogbeat> .\winlogbeat.exe test config -c .\winlogbeat.yml -e
    


    Adım 5 - Winlogbeat Serisini Başlatma


  • Aşağıdaki komut çalıştırılarak servisi başlatın.

  • PS C:\Program Files\Winlogbeat> Start-Service winlogbeat
    


  • Winlogbeat şimdi çalışıyor olmalıdır. 이 작업은 C:\ProgramData\winlogbeat\Logs\winlogbeat konumunda görüntüleyebilirsiniz.
  • Windows'ta Hizmetler yönetim konsolundan hizmetin durumunu görüntüleyebilir ve kontrol edebilirsiniz. Yönetim konsolunu başlatmak için şu komutu çalıştırın:

  • PS C:\Program Files\Winlogbeat> services.msc
    


    Adım 6 - Winlogbeat Servisini Durdurma



    Winlogbeat servisini aşağıdaki komutla durdurun:

    PS C:\Program Files\Winlogbeat> Stop-Service winlogbeat
    

    좋은 웹페이지 즐겨찾기