Installation Winlogbeat (15%)
1 Recherche - Winlogbeat​
1.1 Was ist Winlogbeat? Wofür wird es verwendet​
Winlogbeat ist Teil der Elastic Beats Plattform. Er wird verwendet, um Windows-Ereignisprotokolle zu erfassen, zu verarbeiten und weiterzuleiten. Diese Daten können dann an einer zentralen Stelle wie Logstash gesendet werden, um dort analysiert und visualisiert zu werden.
1.2 Was ist die aktuellste Version von Winlogbeat?​
2 Installation - Winlogbeat​
2.1 Dokumentation der Installation Winlogbeat (mit Printscreens)​
Elastic hat eine offizielle Anleitung zur Installation von Winlogbeat.
2.1.1 Installation Winlogbeat​
Nach dem herunterladen der aktuellen Version, muss der Ordner in C:\Program Files entzippt werden. Anschliessend sollte der Ordner winlogbeat-<version> in Winlogbeat umbenannt werden. Danach muss eine Powershell als Administrator ausgeführt werden, in dieser müssen folgende Command ausgeführt werden.
cd 'C:\Program Files\Winlogbeat'
.\install-service-winlogbeat.ps1
2.1.2 Verbindung zu Elastic Stack​
Als nächstes muss die winlogbeat.yml Konfiguration angepasst werden. In dieser müssen die Kibana und Elasticsearch Optionen angepasst werden.
2.1.3 Assets einrichten​
Nachdem die Konfiguration angepasst wurde, können die Assets eingerichtet werden.
2.1.4 Winlogbeat Service starten​
Nach dem Setup muss der Service gestartet werden.
2.1.5 Daten in Kibana sehen​
Als letztes muss auf das Kibana Dashboard zugegriffen werden. Dieses läuft auf HOST:5601. Da sollte unter winlogbeat-* verschiedene erfasste Events zu sehen sein.
3 Dokumentation / Testing - Winlogbeat​
3.1 Dokumentieren Sie den Erfolg von Ihrer Installation ("sehen Sie Events von Ihrem Windows Rechner auf ELK"), mit Printscreens​
Quellen: