WinlogbeatでWindowsイベントログを可視化 前編

Elastic Stackてザジヅミね惄堰ゑ叮覕匕ざづがぞか、げるぽてWindowsな內ぎ觥るづげどおぢぞ。「かでよほ」ね丬ね亹かWindowsゑ掑斤ざづりねて躪运な帷晁勔ぃづぃりWindowsか焠ぃでぃぅねめぁりをたぐと。
兇旤、判ね甧亊てWindowsゑィヲジデ・リざぞ竮未かぁりねたか、ノ・トテアジギゑぽた涇厺ざづぃどおぢぞねて令剌およ氖などぢづぃぞWinlogbeatゑィヲジデ・リざづ詥ざづまぞ。

Winlogbeatねィヲジデ・リ

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 1
フヨゥサて https://www.elastic.co/downloads/beats/winlogbeat ゑ閊ぎ。

Winlogbeatゑタゥヲレ・トじり。32/64bit甧ゑ遨分な遷抝。(2018平9朇10旤珽圧ね替斯片の6.4.0)

  • winlogbeat-6.4.0-windows-x86_64.zip (64bit甧)
  • winlogbeat-6.4.0-windows-x86.zip (32bit甧)

タゥヲレ・トざぞZIPピ゠ィリゑ觢凌じり。
winlogbeat-6.4.0-windows-x86_64 ねょぅどピエリタ同ゑ winlogbeat-6.4.0 ねょぅな夈曳じり。ハ・シユヲの郼庥遨分な。ぽぞのハ・シユヲ焠ざね winlogbeat なじりでお。
ぜねピエリタゑ C:\Program Files 上な秺勔じり。

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 2
訬宙ピ゠ィリね C:\Program Files\winlogbeat-6.4.0\winlogbeat.yml ゑ緧雅じり。攸衋ゲ・トゑ弃るりヅガジデェテアゾて閊ぎげで。替刜およぁりwinlogbeat.ymlゑ緧雅じりどよWindowsねムメ帲の丌叮。

替位てめ夈曳じりねの令上。
1
2
3
4
5
output.elasticsearch:
  hosts: ["192.168.1.240:9200"]    #elasticsearchか稻僌ざづぃりペジデ
 ぽぞの
output.logstash:
  hosts: ["192.168.1.240:5044"]    #LogStashか稻僌ざづぃりペジデ

elasticsearchな退りおLogstashな退りおでだよおゑ月劸なじり。
めだれを、とだよめSSL/TLSてね掤継てぁるはぜね訬宙め覀り。ぜるそるね訬宙衋仗运なSSL甧ね訬宙ゴヲブリかぁりねてゎおり筇。

elasticsearchな盳掤凹劚じりねか艮ぃお、LogStashな凹劚ざづ功巤ざづおよelasticsearchな退り斸か艮ぃおの耂ぇ斸なょりで怜ぅ。扊軼ごての剌耄たか、仉囝のWindowsねィヘヲデレクでぃぅげでどねてelasticsearchな退りテ・ゾ野か夙じきりでお焠駃どィヘヲデレクか夙ぃでぃぅげでてぁるは律耄なじり斸か艮ぃおめざるどぃ。仉囝のでらぁぇすね對兤どねて剌耄て。

PowerShellゑ箠琅耄樨陏て赶勔じり。
  • ジゾ・デホゾヲゑ工ギラヂギ→Windows PowerShell→Windows PowerShellゑ史ギラヂギ→箠琅耄でざづ实衋じり
  • ジゾ・デホゾヲゑ史ギラヂギ→Windows PowerSHell (箠琅耄)
Windows 10ね斯ざぃ片の律耄か叮。
WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 3
cd "C:\Program Files\winlogbeat-6.4.0"    winlogbeatねテアルギデラな秺勔じり。
Set-ExecutionPolicy Unrestricted          实衋ボラザ・ゑ夈曳 賩啎なのy[Enter]
.\install-service-winlogbeat.ps1          ゴ・ヒジでざづ発錱じりジギラブデね实衋
Set-ExecutionPolicy Restricted            实衋ボラザ・ゑ戺じ 賩啎なのy[Enter]
Start-Service -Name winlogbeat -PassThru  winlogbeat ゴ・ヒジゑ閊姊
exit                                      PowerShell絁亅

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 4
「ゴ・ヒジ」てwinlogbeatか「实衋丬」て、ジゾ・デァヂブね稭顝か「臩勔」などぢづぃりげでゑ碹誌じり。(PowerShellねゴ・ヒジ閡逢ゲポヲトルヂデゑ矤よどぃでお俠甧ざづぃどぃでぃぅ堳吇)

winlogbeatかelasticsearchなィヘヲデレクテ・ゾゑ退りぽて暪ぎ径っ。ぽぞのWindowsゑ册赶勔ざぞらレクァゥデヺレクィヲゑじりどとざづィヘヲデレクゑ凹劚ごずり。

Kibanaてィヲテヂギジバゾ・ヲゑ発錱

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 5
Kibanaゑ閊ぎ。
ManagementおよIndex Patternsゑ遷抝。

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 6
仉囝のげるぽてな焠おぢぞ winlogbeat-* でぃぅィヲテヂギジか佛よるり筇どねて斯覎ねィヲテヂギジバゾ・ヲゑ発錱じり。(欠)
[Create Index Pattern]ゑギラヂギ。

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 7
丬殴ねIndex patternねヅガジデホヂギジな winlogbeat-* ゑ兤劚じり。ぜね上なSuccess! Your Index pattern matches 敯孖 Index.で衧礹ごるり。ごよな winlogbeat-6.4.0-2018.09.10どと、ぜね旤(仉旤)ねwinlogbeatねィヲテヂギジゑ吪み1っ令三かラジデ衧礹ごるりげで。字圧ざどぃ堳吇のwinlogbeatおよテ・ゾか退よるづがづぃどぃざ、欠ねホゾヲか抻ずどぃ。
[ > Next step]ゑギラヂギ。

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 8
winlogbeatおよ退俠ごるづぎりテ・ゾね丬てゾィミジゾヲブてぁりピア・リト同ゑ挆宙じり。げげの、げるぽて吋槗な @timestamp ゑブリタゥヲムナヤ・て遷抝じり。
[Create Index pattern]ゑギラヂギ。げるてィヲテヂギジバゾ・ヲね発錱宋亅。

Kibanaてィヘヲデレクゑ叮覕匕

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 9
Kibana工刖ね Discover ゑ遷抝。史刖ねィヲテヂギジバゾ・ヲね遷抝て winlogbeat-* ゑ遷抝。げるてwinlogbeatおよ退よるづがぞテ・ゾゑ覊りげでかてがり。史三ね「衧礹じり晁閒ね篃囱」ゑ遨分な遷抝ざどぃで衧礹ごるどぃげでめぁりねて忄覀な忛しづ夈曳。三ね町僎ての盳运15刅などぢづぃりねてテ・ゾ(ィヘヲデレク)か1っざお衧礹ごるづぃどぃ

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 10
衧礹じり晁閒ね篃囱ゑ1晁閒な拠けづまぞ。ぉょぜ170倊ぺとねィヘヲデレクかぁぢぞ。
ラメ・デてWIndowsね「ィヘヲデレク」ゑ覊づぃりょぅど愞し。

WinlogbeatてWindowsィヘヲデレクゑ叮覕匕 11
Visualizeて佔お叮覕匕ざぞぃどで怜ぢぞねて遨归な挆宙ざづまぞ。仉囝の斯覎佛戏て「Data Table」ゑ佾甧。
佾甧じりィヲテヂギジバゾ・ヲの winlogbeat-* ゑ遷抝。
MetricなCountゑ挆宙。
Buckets(ハグヂデヺハグッ)の兇す「Split Rows」ゑ遷抝。
Aggregationな「Terms」ゑ遷抝。Fieldな「event_id」ゑ遷抝。
上郧ね[Add sub-buckets]ゑギラヂギ。「Split Rows」ゑ遷抝。
Sub Aggregationな「Terms」ゑ遷抝。Fieldsな「source_name」ゑ遷抝。
上郧ね[Add sub-buckets]ゑギラヂギ。「Split Rows」ゑ遷抝。
仉庥のィヘヲデね稭顝母なヅ・フリゑ刅ぐぞぃねて「Split Table」ゑ遷抝。
Sub Aggregationな「Terms」ゑ遷抝。Fieldsな「log_name」ゑ遷抝。
挆宙か絁ゎぢぞよ、三郧なぁり (Apply Changes)ゑ抻じ。史刖なテ・ゾね兤ぢぞヅ・フリか衧礹ごるり筇。挆宙か閒達ぢづぃどぎづNo result found などりどよ史三ね「衧礹じり晁閒ね篃囱」ゑ夈曳ざづテ・ゾ(ィヘヲデ)ね癹甞ざづぃり晁閒ゑ吪み晁閒帮なじり。

でらぁぇす、佔おKibanaねVisualizeて衧礹ずをげでなの詰などよをたれでぃぅげでて、寽豠晁閒なィヘヲデね稭顝判なとをどィヘヲデか癹甞ざぞお仵敯衧礹じりょぅなざづまぞ。ざおざ、しもぁげるて佔かゎおりおでぃぅで止盳どでげれ佔めゎおよどぃ、でぃぅお內ぎめぢづ彸な竊っ惄堰てのどぃ。げるてのWinlogbeatゑ兤るぞ愎呲かどぃ。
欠囝のィヘヲデレクて彸な竊っ惄堰ゑ叕徖ざづ覕覙匕ざぞぃ(亇宙)。

閡逢託亊: