Winlogbeat: Instalação e configuração
O Winlogbeat é um agente específico para monitoraçāo de logs de sistema, seguranca e aplicaçāo do Windows.
Assim que for feita a instalaçāo e configuraçāo, você conseguirá ver os dados dos seus hosts em um dashboard super detalhado e também no app SIEM, pois o winlogbeat suporta o ECS, que torna possível toda essa integraçāo.
Além de poder ver graficamente, também é possível ter acesso aos logs através do discovery, o que facilita muito a usabilidade, pois utilizar o event viewer do Windows para olhar logs está longe de ser uma tarefa agradável (rsrs).
Como começar a utilizar
- Faça o download do Winlogbeat:
https://www.elastic.co/pt/downloads/beats/winlogbeat
2. Extraia o conteúdo e coloque ele no diretório C:\Program Files
3. Execute o comando abaixo para instalar:
PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1
4. Edite o arquivo winlogbeat.yml que fica localizado no diretório C:\Program Files\Winlogbeat\winlogbeat.yml
e insira as seguintes informações:
output.elasticsearch:
hosts: [“ip_do_elasticsearch:9200"]
5. Execute o comando abaixo para criar o índice do Winlogbeat e para carregar os dashboards:
.\winlogbeat.exe setup
6. Inicie o serviço do Winlogbeat:
Start-Service winlogbeat
7. No Kibana, faça o teste para verificar se você está recebendo os dados do auditbeat:
Além desse artigo, também fiz um vídeo demonstrando o passo a passo dessa configuração.
Para conhecer mais sobre esse produto, acesse o site da Elastic.