がとらぼ

WinlogbeatでWindowsイベントログを可視化 前編

Elastic Stackでシステムの情報を可視化してきたが、これまでWindowsに全く触れてこなかった。「がとらぼ」の中の人がWindowsを排斥してるので身近に常時動いているWindowsが無いというのもあるんだけど。
先日、別の用事でWindowsをインストールした端末があるのだが、ハードディスクをまだ消去していなかったので以前から気になっていたWinlogbeatをインストールして試してみた。

Winlogbeatのインストール

WinlogbeatでWindowsイベントログを可視化 1
ブラウザで https://www.elastic.co/downloads/beats/winlogbeat を開く。

Winlogbeatをダウンロードする。32/64bit用を適切に選択。(2018年9月10日現在の最新版は6.4.0)

  • winlogbeat-6.4.0-windows-x86_64.zip (64bit用)
  • winlogbeat-6.4.0-windows-x86.zip (32bit用)

ダウンロードしたZIPファイルを解凍する。
winlogbeat-6.4.0-windows-x86_64 のようなフォルダ名を winlogbeat-6.4.0 のように変更する。バージョンは都度適切に。またはバージョン無しの winlogbeat にするとか。
そのフォルダを C:\Program Files 下に移動する。

WinlogbeatでWindowsイベントログを可視化 2
設定ファイルの C:\Program Files\winlogbeat-6.4.0\winlogbeat.yml を編集する。改行コードを弄れるテキストエディタで開くこと。最初からあるwinlogbeat.ymlを編集するならWindowsのメモ帳は不可。

最低でも変更するのは以下。
1
2
3
4
5
output.elasticsearch:
  hosts: ["192.168.1.240:9200"]    #elasticsearchが稼働しているホスト
 または
output.logstash:
  hosts: ["192.168.1.240:5044"]    #LogStashが稼働しているホスト

elasticsearchに送るかLogstashに送るかとちらかを有効にする。
もちろん、どちらもSSL/TLSでの接続であればその設定も要る。それぞれの設定行付近にSSL用の設定サンプルがあるのでわかる筈。

elasticsearchに直接出力するのが良いか、LogStashに出力して加工してからelasticsearchに送る方が良いかは考え方によると思う。手軽さでは前者だが、今回はWindowsのイベントログということなのでelasticsearchに送るデータ量が多すぎるとか無駄なイベントログが多いということであれば後者にする方が良いかもしれない。今回はとりあえずの導入なので前者で。

PowerShellを管理者権限で起動する。
  • スタートボタンを左クリック→Windows PowerShell→Windows PowerShellを右クリック→管理者として実行する
  • スタートボタンを右クリック→Windows PowerSHell (管理者)
Windows 10の新しい版は後者が可。
WinlogbeatでWindowsイベントログを可視化 3
cd "C:\Program Files\winlogbeat-6.4.0"    winlogbeatのディレクトリに移動する。
Set-ExecutionPolicy Unrestricted          実行ポリシーを変更 質問にはy[Enter]
.\install-service-winlogbeat.ps1          サービスとして登録するスクリプトの実行
Set-ExecutionPolicy Restricted            実行ポリシーを戻す 質問にはy[Enter]
Start-Service -Name winlogbeat -PassThru  winlogbeat サービスを開始
exit                                      PowerShell終了

WinlogbeatでWindowsイベントログを可視化 4
「サービス」でwinlogbeatが「実行中」で、スタートアップの種類が「自動」になっていることを確認する。(PowerShellのサービス関連コマンドレットを知らないとか信用していないという場合)

winlogbeatがelasticsearchにイベントログデータを送るまで暫く待つ。またはWindowsを再起動したりログアウト・ログインをするなどしてイベントログを出力させる。

Kibanaでインデックスパターンを登録

WinlogbeatでWindowsイベントログを可視化 5
Kibanaを開く。
ManagementからIndex Patternsを選択。

WinlogbeatでWindowsイベントログを可視化 6
今回はこれまでに無かった winlogbeat-* というインデックスが作られる筈なので新規のインデックスパターンを登録する。(次)
[Create Index Pattern]をクリック。

WinlogbeatでWindowsイベントログを可視化 7
中段のIndex patternのテキストボックスに winlogbeat-* を入力する。その下にSuccess! Your Index pattern matches 数字 Index.と表示される。さらに winlogbeat-6.4.0-2018.09.10など、その日(今日)のwinlogbeatのインデックスを含む1つ以上がリスト表示されること。存在しない場合はwinlogbeatからデータが送られてきていないし、次のボタンが押せない。
[ > Next step]をクリック。

WinlogbeatでWindowsイベントログを可視化 8
winlogbeatから送信されてくるデータの中でタイムスタンプであるフィールド名を指定する。ここは、これまで同様に @timestamp をプルダウンメニューで選択する。
[Create Index pattern]をクリック。これでインデックスパターンの登録完了。

Kibanaでイベントログを可視化

WinlogbeatでWindowsイベントログを可視化 9
Kibana左列の Discover を選択。右列のインデックスパターンの選択で winlogbeat-* を選択。これでwinlogbeatから送られてきたデータを見ることができる。右上の「表示する時間の範囲」を適切に選択しないと表示されないこともあるので必要に応じて変更。上の画像では直近15分になっているのでデータ(イベントログ)が1つしか表示されていない

WinlogbeatでWindowsイベントログを可視化 10
表示する時間の範囲を1時間に拡げてみた。およそ170個ほどのイベントログがあった。
リモートでWIndowsの「イベントログ」を見ているような感じ。

WinlogbeatでWindowsイベントログを可視化 11
Visualizeで何か可視化したいなと思ったので適当に指定してみた。今回は新規作成で「Data Table」を使用。
使用するインデックスパターンは winlogbeat-* を選択。
MetricにCountを指定。
Buckets(バケット・バケツ)は先ず「Split Rows」を選択。
Aggregationに「Terms」を選択。Fieldに「event_id」を選択。
下部の[Add sub-buckets]をクリック。「Split Rows」を選択。
Sub Aggregationに「Terms」を選択。Fieldsに「source_name」を選択。
下部の[Add sub-buckets]をクリック。「Split Rows」を選択。
今度はイベントの種類毎にテーブルを分けたいので「Split Table」を選択。
Sub Aggregationに「Terms」を選択。Fieldsに「log_name」を選択。
指定が終わったら、上部にある (Apply Changes)を押す。右列にデータの入ったテーブルが表示される筈。指定が間違っていなくてNo result found になるなら右上の「表示する時間の範囲」を変更してデータ(イベント)の発生している時間を含む時間帯にする。

とりあえず、何かKibanaのVisualizeで表示せんことには話にならんだろということで、対象時間にイベントの種類別にどんなイベントが発生したか件数表示するようにしてみた。しかし、じゃあこれで何がわかるかというと正直なところ何もわからない、というか全くもって役に立つ情報ではない。これではWinlogbeatを入れた意味がない。
次回はイベントログで役に立つ情報を取得して視覚化したい(予定)。

関連記事:

Microsoft Trackball Explorerを復活させる

マイクロソフトのTrackball Explorer(トラックボール エクスプローラー)。2001年に販売開始後、たしかすぐに購入したので、もう17年経っていることになる。そんなになるんだ・・・

以前にも書いたが、このTrackball Explorerは操作性は抜群だったものの、下の画像の赤い球体を浮かせるための支持球と呼ばれる小さな鉄球が赤い球体を回すうちに削れて次第に赤い球体の動きが悪くなる(重くなる)。そして、銀色の筐体の塗装が最悪レベルなので普通に使うと簡単に銀色がすり減ってさらに下から現れたベースの素材も年月が経つと汚く変色する。それで使うのをやめたわけだが、壊れたわけではないので捨ててはいなかった。
ググるとTrackball Explorerの支持球の交換方法があったのと、最近は100均でラッピングシートが安く入手できるようだったので、重い腰を上げてTrackball Explorerを復活させることにした。

Trackball Explorerを復活させる 1
これが表面の塗装がボロボロになったTrackball Explorer。手が触れる部分だけ見事に塗装が取れて変色している。ボタンも本来はグレーだった筈だが、茶色がかったイヤな色になっている。マイクロソフトのポインティングデバイスは初代のインテリマウスまではずっと良かったのにその後白いプラスチックをやめてから劇的に酷い素材に改悪されたよね。初代のインテリマウスは粗悪な偽物が500〜1000円という安価で大量に出回ったけど、現在はマイクロソフト自身が大量に粗悪製品を(高額で)売ってる感じ。全然値段相応じゃない粗悪な中国製。

Trackball Explorerを復活させる 2
底の穴から指を突っ込むと赤い球体が外れる。赤い球体と写真に写っている赤いプラスチックのカップを(ときどき)掃除してやらないとダメなのでそうなっている。
緑の矢印の先にある小さな銀色の鉄球が支持球と呼ばれるもの。上の画像では2つ見えているが、実際には3つある。この支持球の鉄という素材の悪さが製品寿命を短くしている。この支持球は回転することは考慮されていないので赤い球体と擦れてそこが平らになってくると赤い球体との摩擦が増大する。そうすると赤い球体の回転が悪くなるので指で回すのが不快になる。トラックボールとしてはゴミになるわけ。

Trackball Explorerを復活させる 3
ウラ面はラバーソールが2箇所付いているが、ネジを外すにはそのラバーソールは剥がさなくてはならない。上の画像のようにネジは5箇所。上の画像の左下の緑矢印のネジだけは斜めなので注意。そして、この製品は全てのプラスチックが非常に粗悪で簡単にパキポキパリパリ割れるそうなので必要以上に力を加えないように慎重に作業する。

Trackball Explorerを復活させる 4
ネジを外したら上下に分割できるのだが、そのためにはコネクタを2つ外さなくてはならない。ケーブルが短いのとコネクタが固いので外すのに手こずるかも。隙間から精密ドライバを挿してコネクタを浮かしてラジオペンチで抜いた。

Trackball Explorerを復活させる 5
支持球の取り付けられている赤いカップを取り出すためには中ワタを全て取り出さなければならない。わかりやすいところのネジの他に見えにくいところにネジが2箇所。特にフラットケーブルに隠れているネジに注意。ネジに気付かずに外そうとすると間違いなく割れる。また、指で触れるボタンの部品もワザと割れるようになっているのかと思うほど酷い造りなので僅かでも捻ると確実に割れる筈。

Trackball Explorerを復活させる 6
赤いカップの支持球を外すためには支持球の裏側からカップに穴を掘る。穴に細い棒を通して支持球を表(カップの凹側)に押し出す。当然だけど、鉄球より小さい穴でなければならないのでピンポイントの一発必中で穴を掘る。先人はドリルを使ったということだが、ブレのない精密なドリルを持っていないのでリューターと極細のボールエンドミルを使った。上の画像は爪楊枝とエンドミルの比較。エンドミルが支持球に触れるところまで穴を掘る。それ以上支持球に押し当てると穴が大きくなりすぎるので注意。で、裁縫針で支持球を押し出した。ちなみに赤いカップも割れ易いらしいので特に飛び出ているネジの取り付け部に注意。

Trackball Explorerを復活させる 7
カップの支持球を取り出した。緑の円の中の3つが取り出した鉄球。

Trackball Explorerを復活させる 8
今回は元の支持球と同じ大きさの直径2mmのSi3N4(窒化ケイ素)のセラミックボールを購入。どうせ回転しないのにG5グレードは無駄に良すぎるかなと思ったけど安かったので決定。10個入りで送料込みUS$4.27(購入時)。ちなみに最上位のG3グレードは販売されていなかった。購入したのが本当にG5グレード相当なのかは調べる手段を持たないので不明。まぁ、今回は真球度を求めていないのでそこはどうでも良い。あと、ジルコニアは高かったのでやめた。

Trackball Explorerを復活させる 9
外した鉄球は銀色だけど窒化ケイ素の方は黒っぽい。

Trackball Explorerを復活させる 10
新しい支持球を赤いカップの凹側から指で穴に押し込む。赤い球体を嵌めて球体がカップの凹みのどこかに触れたりしていないか回して確認する。カップに触れていると回転がとても重い筈。

Trackball Explorerを復活させる 11
組み立て。意外と難しい。少々力を加えても良いということであれば簡単なのだが、力を加えたらダメということだとホイールとボタンの部分が本当にはめにくい。しかし、そこが一番モロそうという嫌がらせ。組み立てたらPCに接続して動作確認。球体がすごく軽く回るので嬉しくなるね。速く回すと球体の惰性だけで2画面の端から端までポインタが移動するくらい。
以上でTrackball Explorerの性能面は復活。

Trackball Explorerを復活させる 12
こちらは100均のセリアで購入したラッピングシート。カーボン調シートということだが、本物のカーボン知ってるのかって問い質したくなるくらいカーボンぽくはない。ただし、馬鹿に出来ないのは表面の触感。ナマイキにも繊維に模した細かな凹凸がちゃんとある。
素材はPVCなので多少は伸ばすことができそうね。30x30cmということでTrackball Explorerには十分すぎる大きさ。

Trackball Explorerを復活させる 13
上の画像は光の反射が酷すぎるが、実際には見た感じではここまで強烈な反射ではないかな。
で、上の画像で最も反射して白飛びしているあたりにラッピンクシートの中心を押し当てて、ピッと引っ張りながらシワにならないようにシートを貼っていく。Trackball Explorerの曲面に合わせるためにドライヤー等の熱風は要らない。シートの糊があまり良くないらしく手がベタつくけど接着力は悪くないかな。接着の持続性は不明。空気を逃がしながら1回でビシッと決めるのがコツかな。

Trackball Explorerを復活させる 14
実物は写真ほど下品に市松模様は見えない。意外と良い感じなんだけど解って貰えないだろうなぁ。
球体のカップのところとボタン部分だけはラッビングシートを切り取って空けている。ボタンの部分はこのままだと色的にみっともないので赤いラッピングシートを貼ってやろうかしら。

本当はグレーか白系の大理石調のシートが欲しかったんだけどそういうのはセリアには無かったので消去法でカーボン風を選んだんだけど、事前の予想よりは良い雰囲気になったかも。
シートの素材がポリエステルなどの伸びないものだと曲線に沿わして伸ばして貼るというのが難しいというか無理なので使えるシートが制限される。あと、糊付けなので貼ったときは上手くできたと思っても、使っている内にズレたり剥がれたりラッピングシートが傷んだりの可能性。そして剥がした時に糊の除去に苦労するかもという問題が。今回はボタンの部分のラッピングシートを剥がした時に糊を布ガムテープペタペタで除去できたけど、しばらく使った後の糊がそれで取れてくれるかは不明。
本体部分にラッピングシートを上手く貼れなかったら話にならない、そして上手く貼る自信がなかったのでボタン用のラッピングシートは買ってなかった。予想に反して上手く貼れたのでボタン用も買いに行かなくちゃ。

100均のラッピングシートはあんまりだと思ったら(ホームセンターか)カー用品店に良さそうなのが揃ってるかも。

関連記事:
Up