Installation de Winlogbeat et Logstash sur un hôte Windows

Pour extraire des événements au format JSON Winlogbeat dans QRadar®, vous devez installer Winlogbeat et Logstash sur votre hôte Microsoft Windows .

Avant de commencer

Assurez-vous d'utiliser Oracle Java™ Development Kit V8 for Windows x64 et versions ultérieures.

Procédure

  1. Installez Winlogbeat 7.7 à l'aide des valeurs par défaut. Pour plus d'informations, voir Getting Started with Winlogbeat (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/winlogbeat-getting-started.html).
  2. Démarrez le service Winlogbeat.
    Remarque: pour les services Windows, le nom de service est Winlogbeat. Après l'installation, le service est défini sur STOPPED, puis doit être démarré pour la première fois. Toute modification de configuration au-delà de ce point nécessite un redémarrage du service.
  3. Facultatif. Pour plus de flexibilité lors de la configuration de Winlogbeat, voir Set up Winlogbeat (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/configuration-winlogbeat-options.html).
  4. Installez Logstash en téléchargeant le package et en le sauvegardant dans un emplacement de fichier de votre choix.
  5. Pour vous assurer que Winlogbeat communique correctement avec QRadar, voir Configure Winlogbeat to use Logstash (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/config-winlogbeat-logstash.html).
    L'exemple de fichier de configuration de base suivant peut être utilisé dans le fichier <logstash_install_directory>/config.
    	input {	 beats {	    port => 5044	  }	}	output {	  tcp {	    host => ["172.16.199.22"]	    port => 514	    mode => "client"	    codec => "json_lines"	  }	  stdout { codec => rubydebug }	}
    Remarques :
    • Si vous utilisez rubydebug, le débogage doit être activé dans le fichier logstash.yml. Supprimez la mise en commentaire de la ligne # log.level: info et remplacez info par debug. Le redémarrage du service est requis après les modifications de configuration.
    • Le paramètre codec dans la sortie doit être défini sur json_lines pour que chaque événement soit envoyé séparément à QRadar.
    • Si vous souhaitez envoyer une sortie Kafka à un serveur Kafka existant, voir Configuration de la sortie Kafka (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/kafka-output.html).
  6. Vérifiez que Logstash est configuré correctement en vérifiant que le fichier config de Logstash fonctionne. Exécutez la commande suivante à partir du répertoire bin de Logstash:
    logstash --config.test_and_exit -f <path_to_config_file>
  7. Vérifiez que Winlogbeat est correctement configuré.
    1. Vérifiez que le fichier de configuration fonctionne en exécutant la commande suivante à partir du répertoire winlogbeat :
      ./winlogbeat test config
    2. Vérifiez que Winlogbeat peut accéder au serveur Logstash en exécutant la commande suivante à partir du répertoire winlogbeat :
      ./winlogbeat test output

      Si la sortie de la commande ./winlogbeat test output aboutit, elle peut interrompre toute connexion existante à Logstash. Si la connexion est interrompue, redémarrez le service Logstash.

Etape suivante

Ajoutez une source de journal dans QRadar et utilisez les paramètres répertoriés dans Microsoft Windows.