Instalowanie programów Winlogbeat i Logstash na hoście Windows

Aby pobrać zdarzenia w formacie JSON Winlogbeat w systemie QRadar ®, należy zainstalować oprogramowanie Winlogbeat i Logstash na hoście Microsoft™ Windows™ .

Zanim rozpoczniesz

Upewnij się, że używany jest pakiet Oracle Java™ Development Kit V8 dla systemu Windows x64 lub nowszego.

Procedura

  1. Zainstaluj program Winlogbeat 7.7 , używając wartości domyślnych. Więcej informacji na ten temat zawiera sekcja Pierwsze kroki z programem Winlogbeat (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/winlogbeat-getting-started.html).
  2. Uruchom usługę Winlogbeat.
    Uwaga: W przypadku usług systemu Windows nazwa usługi to Winlogbeat. Po zakończeniu instalacji usługa jest ustawiana na wartość STOPPED, a następnie musi zostać uruchomiona po raz pierwszy. Każda zmiana konfiguracji po tym punkcie wymaga zrestartowania usługi.
  3. Opcjonalne. Aby uzyskać większą elastyczność podczas konfigurowania programu Winlogbeat, należy zapoznać się z sekcją Konfigurowanie programu Winlogbeat (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/configuration-winlogbeat-options.html).
  4. Zainstaluj program Logstash, pobierając pakiet i zapisując go w wybranym położeniu.
  5. Aby upewnić się, że program Winlogbeat komunikuje się poprawnie z programem QRadar, zapoznaj się z informacjami w sekcji Konfigurowanie programu Winlogbeat do korzystania z programu Logstash (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/config-winlogbeat-logstash.html).
    W pliku <logstash_install_directory>/config można użyć następującego przykładowego pliku konfiguracyjnego.
    	input {	 beats {	    port => 5044	  }	}	output {	  tcp {	    host => ["172.16.199.22"]	    port => 514	    mode => "client"	    codec => "json_lines"	  }	  stdout { codec => rubydebug }	}
    Uwagi:
    • Jeśli używany jest tryb rubydebug, debugowanie musi być włączone w pliku logstash.yml . Usuń znak komentarza z wiersza # log.level: infoi zastąp łańcuch info łańcuchem debug. Restartowanie usługi jest wymagane po każdej zmianie konfiguracji.
    • Parametr codec w danych wyjściowych musi być ustawiony na wartość json_lines , aby zapewnić, że każde zdarzenie będzie wysyłane osobno do QRadar.
    • Aby wysłać dane wyjściowe Kafka do istniejącego serwera Kafka , patrz sekcja Konfigurowanie danych wyjściowych Kafka (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/kafka-output.html).
  6. Upewnij się, że program Logstash jest poprawnie skonfigurowany, sprawdzając, czy plik config programu Logstash działa. Z poziomu katalogu bin Logstash uruchom następującą komendę:
    logstash --config.test_and_exit -f <path_to_config_file>
  7. Upewnij się, że program Winlogbeat jest poprawnie skonfigurowany.
    1. Sprawdź, czy plik konfiguracyjny działa, uruchamiając następującą komendę z katalogu winlogbeat :
      ./winlogbeat test config
    2. Sprawdź, czy narzędzie Winlogbeat może uzyskać dostęp do serwera Logstash, uruchamiając następującą komendę z katalogu winlogbeat :
      ./winlogbeat test output

      Jeśli dane wyjściowe komendy ./winlogbeat test output powiodą się, może to spowodować zerwanie istniejącego połączenia z programem Logstash. Jeśli połączenie zostanie przerwane, zrestartuj usługę Logstash.

Co dalej

Dodaj źródło dziennika w pliku QRadar i użyj parametrów wymienionych w sekcji Microsoft Windows.