Windows sistemlerin ELK'ya log gönderebilmesi için yapılması gereken işlemler aşağıdaki gibidir.

Adım 1 - 쿠루룸

Winlogbeat Windows zip dosyasını resmi indirme sayfasından indirin.

Zip 파일은 C:\Program Files 파일에 저장되어 있습니다.

winlogbeat- dizinini Winlogbeat olarak yeniden adlandırın.

PowerShell은 PowerShell을 활성화하고 동시에 Yönetici Olarak을 활성화합니다. Windows XP는 PowerShell'i indirip yüklemeniz gerekebilir.

Winlogbeat'i bir Windows hizmeti olarak kurmak için aşağıdaki komutları çalıştırın:

PS C:\Users\Administrator> cd 'C:\Program Files\Winlogbeat'
PS C:\Program Files\Winlogbeat> .\install-service-winlogbeat.ps1

Security warning
Run only scripts that you trust. While scripts from the internet can be useful,
this script can potentially harm your computer. If you trust this script, use
the Unblock-File cmdlet to allow the script to run without this warning message.
Do you want to run C:\Program Files\Winlogbeat\install-service-winlogbeat.ps1?
[D] Do not run  [R] Run once  [S] Suspend  [?] Help (default is "D"): R

Status   Name               DisplayName
------   ----               -----------
Stopped  winlogbeat         winlogbeat

Sisteminizde betik çalıştırma devre dışı bırakılmışsa, betik dosyasının çalışmasına izin vermek için geçerli oturumda yetki vermek için aşağıdaki komutu çalıştırmanız gerekir.

 PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1

Adım 2 - Winlogbeat'i Yapılandırması

Winlogbeat는 C:\Program Files\Winlogbeat에서 winlogbeat.yml 파일을 불러올 수 있습니다.

event_logs bölümünde, izlemek istediğiniz olay günlüklerini belirtin. Varsayılan olarak Winlogbeat, uygulama, güvenlik ve sistem günlüklerini izleyecek şekilde ayarlanmıştır:

winlogbeat.event_logs:
  - name: Application
  - name: Security
  - name: System

Adım 3 - Çıktıyı yapılandırın

Veriler dizine eklenmeden önce filtreleri çalıştırma seçeneğimiz olması için Logstash'a göndereceğiz.
Elasticsearch는 블로우누 요럼단 칼디린입니다.

## Comment out elasticsearch output
#output.elasticsearch:
#  hosts: ["localhost:9200"]

Yukarıdaki blok aşağıdaki şekilde güncellenmelidir. Aşağıdaki sunucuya LOGSTACH_IP_ADRES 및 LOGSTASH_PORT alanları doğru olarak yazılmalıdır.

output.logstash:
    hosts: ["LOGSTACH_IP_ADRES:LOGSTASH_PORT"]
    loadbalance: true
    ssl.enabled: true

Adım 4 - Yapılandırmayı doğrulayın

Yapılandırma dosyasının doğru ayarlanıp ayarlanmadığını kontrol edelim.

PS C:\Program Files\Winlogbeat> .\winlogbeat.exe test config -c .\winlogbeat.yml -e

Adım 5 - Winlogbeat Serisini Başlatma

Aşağıdaki komut çalıştırılarak servisi başlatın.

PS C:\Program Files\Winlogbeat> Start-Service winlogbeat

Winlogbeat şimdi çalışıyor olmalıdır. 이 작업은 C:\ProgramData\winlogbeat\Logs\winlogbeat konumunda görüntüleyebilirsiniz.

Windows'ta Hizmetler yönetim konsolundan hizmetin durumunu görüntüleyebilir ve kontrol edebilirsiniz. Yönetim konsolunu başlatmak için şu komutu çalıştırın:

PS C:\Program Files\Winlogbeat> services.msc

Adım 6 - Winlogbeat Servisini Durdurma

Winlogbeat servisini aşağıdaki komutla durdurun:

PS C:\Program Files\Winlogbeat> Stop-Service winlogbeat