Winlogbeat und Logstash auf einem Windows-Host installieren

Zum Abrufen von Ereignissen im JSON-Format von Winlogbeat in QRadar®müssen Sie Winlogbeat und Logstash auf Ihrem Microsoft Windows -Host installieren.

Vorbereitende Schritte

Stellen Sie sicher, dass Sie Oracle Java™ Development Kit V8 für Windows x64 und höher verwenden.

Vorgehensweise

  1. Installieren Sie Winlogbeat 7.7 unter Verwendung der Standardwerte. Weitere Informationen finden Sie unter Einführung in Winlogbeat (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/winlogbeat-getting-started.html).
  2. Starten Sie den Winlogbeat-Dienst.
    Hinweis: Für Windows-Dienste lautet der Servicename Winlogbeat. Nach der Installation wird der Service auf STOPPED gesetzt und muss anschließend zum ersten Mal gestartet werden. Alle Konfigurationsänderungen, die über diesen Punkt hinausgehen, erfordern einen Neustart des Service.
  3. (Optional) Mehr Flexibilität beim Konfigurieren von Winlogbeat finden Sie unter Winlogbeat einrichten (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/configuration-winlogbeat-options.html).
  4. Installieren Sie Logstash, indem Sie das Paket herunterladen und an einer Dateiposition Ihrer Wahl speichern.
  5. Informationen zur ordnungsgemäßen Kommunikation von Winlogbeat mit QRadarfinden Sie unter Configure Winlogbeat to use Logstash (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/config-winlogbeat-logstash.html).
    Die folgende Basisbeispielkonfigurationsdatei kann in der Datei <logstash_install_directory>/config verwendet werden.
    	input {	 beats {	    port => 5044	  }	}	output {	  tcp {	    host => ["172.16.199.22"]	    port => 514	    mode => "client"	    codec => "json_lines"	  }	  stdout { codec => rubydebug }	}
    Hinweise:
    • Wenn Sie rubydebug verwenden, muss das Debugging in der Datei logstash.yml aktiviert sein. Entfernen Sie die Kommentarzeichen in der Zeile # log.level: infound ersetzen Sie info durch debug. Nach allen Konfigurationsänderungen ist ein Neustart des Service erforderlich.
    • Die codec in der Ausgabe muss auf json_lines gesetzt werden, um sicherzustellen, dass jedes Ereignis separat an QRadargesendet wird.
    • Wenn Sie Kafka -Ausgabe an einen vorhandenen Kafka -Server senden wollen, lesen Sie den Abschnitt Kafka -Ausgabe konfigurieren (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/kafka-output.html).
  6. Stellen Sie sicher, dass Logstash ordnungsgemäß konfiguriert ist. Überprüfen Sie dazu, ob die Datei config für Logstash funktioniert. Führen Sie den folgenden Befehl im Logstash-Verzeichnis bin aus:
    logstash --config.test_and_exit -f <path_to_config_file>
  7. Stellen Sie sicher, dass Winlogbeat ordnungsgemäß konfiguriert ist.
    1. Überprüfen Sie, ob die Konfigurationsdatei funktioniert, indem Sie den folgenden Befehl im Verzeichnis winlogbeat ausführen:
      ./winlogbeat test config
    2. Stellen Sie sicher, dass Winlogbeat auf den Logstash-Server zugreifen kann, indem Sie den folgenden Befehl im Verzeichnis winlogbeat ausführen:
      ./winlogbeat test output

      Wenn die Ausgabe des Befehls ./winlogbeat test output erfolgreich ist, kann die vorhandene Verbindung zu Logstash unterbrochen werden. Wenn die Verbindung unterbrochen wird, starten Sie den Logstash-Service erneut.

Nächste Schritte

Fügen Sie eine Protokollquelle in QRadar hinzu und verwenden Sie die Parameter, die in Microsoft Windows Security Event Log-Protokollquellenparameteraufgelistet sind.