Instalación de Winlogbeat y Logstash en un host de Windows

Para recuperar sucesos con formato JSON de Winlogbeat en QRadar®, debe instalar Winlogbeat y Logstash en el host de Microsoft Windows .

Antes de empezar

Asegúrese de que está utilizando Oracle Java™ Development Kit V8 para Windows x64 y posterior.

Procedimiento

  1. Instale Winlogbeat 7.7 utilizando los valores predeterminados. Para obtener más información, consulte Cómo empezar con Winlogbeat (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/winlogbeat-getting-started.html).
  2. Inicie el servicio Winlogbeat.
    Nota: Para los servicios de Windows, el nombre de servicio es Winlogbeat. Después de la instalación, el servicio se establece en STOPPED y, a continuación, se debe iniciar por primera vez. Cualquier cambio de configuración más allá de este punto requiere un reinicio del servicio.
  3. Opcional. Para obtener más flexibilidad al configurar Winlogbeat, consulte Configurar Winlogbeat (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/configuration-winlogbeat-options.html).
  4. Instale Logstash descargando el paquete y guardándolo en una ubicación de archivo de su elección.
  5. Para asegurarse de que Winlogbeat se comunica correctamente con QRadar, consulte Configurar Winlogbeat para utilizar Logstash (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/config-winlogbeat-logstash.html).
    El siguiente archivo de configuración de ejemplo básico se puede utilizar en el archivo <logstash_install_directory>/config .
    	input {	 beats {	    port => 5044	  }	}	output {	  tcp {	    host => ["172.16.199.22"]	    port => 514	    mode => "client"	    codec => "json_lines"	  }	  stdout { codec => rubydebug }	}
    Notas:
    • Si utiliza rubydebug, la depuración debe estar habilitada en el archivo logstash.yml . Elimine el comentario de la línea # log.level: infoy sustituya info por debug. Es necesario reiniciar el servicio después de cualquier cambio de configuración.
    • codec en la salida debe establecerse en json_lines para asegurarse de que cada suceso se envía por separado a QRadar.
    • Si desea enviar la salida Kafka a un servidor Kafka existente, consulte Configurar la salida Kafka (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/kafka-output.html).
  6. Asegúrese de que Logstash se ha configurado correctamente verificando que el archivo config para Logstash funciona. Ejecute el mandato siguiente desde el directorio bin de Logstash:
    logstash --config.test_and_exit -f <path_to_config_file>
  7. Asegúrese de que Winlogbeat se haya configurado correctamente.
    1. Verifique que el archivo de configuración funciona ejecutando el mandato siguiente desde el directorio winlogbeat :
      ./winlogbeat test config
    2. Verifique que Winlogbeat pueda acceder al servidor Logstash ejecutando el mandato siguiente desde el directorio winlogbeat :
      ./winlogbeat test output

      Si la salida del mandato ./winlogbeat test output es satisfactoria, puede interrumpir cualquier conexión existente con Logstash. Si la conexión se interrumpe, reinicie el servicio Logstash.

Qué hacer a continuación

Añada un origen de registro en QRadar y utilice los parámetros que se listan en Parámetros de origen de registro deMicrosoft Windows Security Event Log.