Winlogbeat: Instalação e configuração

O Winlogbeat é um agente específico para monitoraçāo de logs de sistema, seguranca e aplicaçāo do Windows.

Assim que for feita a instalaçāo e configuraçāo, você conseguirá ver os dados dos seus hosts em um dashboard super detalhado e também no app SIEM, pois o winlogbeat suporta o ECS, que torna possível toda essa integraçāo.

Dashboard com métricas do sistema operacional Windows

Além de poder ver graficamente, também é possível ter acesso aos logs através do discovery, o que facilita muito a usabilidade, pois utilizar o event viewer do Windows para olhar logs está longe de ser uma tarefa agradável (rsrs).

Como começar a utilizar

1. Faça o download do Winlogbeat:

https://www.elastic.co/pt/downloads/beats/winlogbeat

2. Extraia o conteúdo e coloque ele no diretório C:\Program Files

3. Execute o comando abaixo para instalar:

PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1

4. Edite o arquivo winlogbeat.yml que fica localizado no diretório C:\Program Files\Winlogbeat\winlogbeat.ymle insira as seguintes informações:

output.elasticsearch:
 hosts: [“ip_do_elasticsearch:9200"]

5. Execute o comando abaixo para criar o índice do Winlogbeat e para carregar os dashboards:

.\winlogbeat.exe setup

6. Inicie o serviço do Winlogbeat:

Start-Service winlogbeat

7. No Kibana, faça o teste para verificar se você está recebendo os dados do auditbeat:

Além desse artigo, também fiz um vídeo demonstrando o passo a passo dessa configuração.

Para conhecer mais sobre esse produto, acesse o site da Elastic.