2024. 2. 9. 12:03ㆍEFK
다운로드
https://www.elastic.co/kr/downloads/beats/winlogbeat
Download Winlogbeat | Ship Windows Event Logs | Elastic
Download Winlogbeat, the open source tool for shipping Windows event logs to Elasticsearch to get insight into your system, application, and security information....
www.elastic.co
참조
https://www.gnoti.com/index.php/2018/10/12/elk7/
ELK설치 7편 (Winlogbeat로 Windows모니터링) - Gnoti
Windows 기반 인프라의 상태를 확인하기 위해 Winlogbeat를 설치하고 Windows 이벤트 로그를 수집합니다 Winlogbeat 설치 설치파일 다운로드 https://artifacts.elastic.co/downloads/beats/winlogbeat/winlogbeat-6.4.2-windows-x8
www.gnoti.com
https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation-configuration.html
Winlogbeat quick start: installation and configuration | Winlogbeat Reference [8.12] | Elastic
If script execution is disabled on your system, you need to set the execution policy for the current session to allow the script to run. For example: PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1.
www.elastic.co
# 파워쉘 관리자모드로 실행
# 다운로드한 디렉토리로 이동
cd {디렉토리}
# install 파일 실행
.\install-service-winlogbeat.ps1
----------------------
Status Name DisplayName
------ ---- -----------
Stopped winlogbeat winlogbeat
----------------------
# 대쉬보드 설정을 위해 winlogbeat.yml 수정
----------------------------
setup.kibana:
# port 정보가 없으면, 5601을 기본으로 찾음
host: "{kibana 도메인}:{kibana 포트}"
output.elasticsearch:
# port 정보가 없으면, 9200을 기본으로 찾음
hosts: ["{elasticsearch 도메인}:{elasticsearch 포트}"]
# 필요한 경우만 설정
#username: "{elsticsearch 접속 계정}"
#password: "elsticsearch 접속 비밀번호"
----------------------------
# 대쉬보드 설치
.\winlogbeat.exe setup dashboards
---------------------------
Overwriting lifecycle policy is disabled. Set `setup.ilm.overwrite: true` to overwrite.
Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded Ingest pipelines
---------------------------
# 스크립트 정상 여부 확인
.\winlogbeat.exe test config -c .\winlogbeat.yml -e
# 사전에 정의된 asset 등록
# 최초 한번만 하면 됨
.\winlogbeat.exe setup -e
# 서비스 등록
Start-Service winlogbeat
# 서비스 확인
services.msc
Get-Service winlogbeat
# 서비스 중지
# 필요한 경우만
Stop-Service winlogbeat대쉬보드 확인
메뉴 > Dashboard
Trouble Shooting
- CategoryInfo : 보안 오류: (:) [], PSSecurityException
# 에러
./install-service-winlogbeat.ps1 : 이 시스템에서 스크립트를 실행할 수 없으므로 {다운로드 경로}\install-service-winlogbeat.ps1 파일을 로드할 수 없습니다. 자세한 내
용은 about_Execution_Policies(https://go.microsoft.com/fwlink/?LinkID=135170)를 참조하십시오.
위치 줄:1 문자:1
+ ./install-service-winlogbeat.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : 보안 오류: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
# 권한 확인
ExecutionPolicy
---------------------
Restricted
---------------------
# 권한 설정
Set-ExecutionPolicy Unrestricted
---------------------
Unrestricted
---------------------
# install 파일 실행
.\install-service-winlogbeat.ps1
----------------------
Status Name DisplayName
------ ---- -----------
Stopped winlogbeat winlogbeat
----------------------'EFK' 카테고리의 다른 글
| Kibana Discover 윈도우 모니터링 설정 (0) | 2024.02.10 |
|---|---|
| Kibana UI에서 설정 변경 (0) | 2024.02.10 |
| Kibana Dashboard에서 Discover로 바로 이동하기 (0) | 2024.02.09 |
| Sysmon 설치 (0) | 2024.02.09 |
| minikube에 ElasticSearch 설치 (0) | 2024.02.04 |