Windows 호스트에 Winlogbeat및 Logstash 설치

QRadar®에서 Winlogbeat JSON 형식화된 이벤트를 검색하려면 Microsoft Windows 호스트에 Winlogbeat및 Logstash를 설치해야 합니다.

1. 기본값을 사용하여 Winlogbeat 7.7 을 설치하십시오. 자세한 정보는 Winlogbeat 시작하기 (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/winlogbeat-getting-started.html) 를 참조하십시오.
2. Winlogbeat 서비스를 시작하십시오.
   참고: Windows 서비스의 경우 서비스 이름은 Winlogbeat입니다. 설치 후에는 서비스가 STOPPED로 설정된 후에 처음으로 시작되어야 합니다. 이 시점 이후의 구성 변경사항은 서비스를 다시 시작해야 합니다.
3. 선택사항. Winlogbeat를 구성할 때 더 많은 유연성을 얻으려면 Winlogbeat 설정 (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/configuration-winlogbeat-options.html) 을 참조하십시오.
4. 패키지를 다운로드하고 선택한 파일 위치에 저장하여 Logstash를 설치하십시오.
5. Winlogbeat가 QRadar와 올바르게 통신하는지 확인하려면 Logstash를 사용하도록 Winlogbeat 구성 (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/config-winlogbeat-logstash.html) 을 참조하십시오.
   다음 기본 샘플 구성 파일을 <logstash_install_directory>/config 파일에서 사용할 수 있습니다.

   	input {	 beats {	    port => 5044	  }	}	output {	  tcp {	    host => ["172.16.199.22"]	    port => 514	    mode => "client"	    codec => "json_lines"	  }	  stdout { codec => rubydebug }	}

   참고:

   • rubydebug를 사용하는 경우 logstash.yml 파일에서 디버깅을 사용해야 합니다. # log.level: info행의 주석을 해제하고 info 를 debug로 바꾸십시오. 구성을 변경한 후에는 서비스를 다시 시작해야 합니다.
   • 각 이벤트가 QRadar에 별도로 전송되도록 하려면 출력의 codec 를 json_lines 로 설정해야 합니다.
   • Kafka 출력을 기존 Kafka 서버에 전송하려면 Kafka 출력 구성 (https://www.elastic.co/guide/en/beats/winlogbeat/7.7/kafka-output.html) 을 참조하십시오.
6. Logstash용 config 파일이 작동 중인지 확인하여 Logstash가 올바르게 설정되었는지 확인하십시오. Logstash bin 디렉토리에서 다음 명령을 실행하십시오.

   logstash --config.test_and_exit -f <path_to_config_file>

7. Winlogbeat가 올바르게 구성되었는지 확인하십시오.
   1. winlogbeat 디렉토리에서 다음 명령을 실행하여 구성 파일이 작동하는지 확인하십시오.

      ./winlogbeat test config

   2. winlogbeat 디렉토리에서 다음 명령을 실행하여 Winlogbeat가 Logstash 서버에 액세스할 수 있는지 확인하십시오.

      ./winlogbeat test output

      ./winlogbeat test output 명령의 출력이 성공하면 Logstash에 대한 기존 연결이 중단될 수 있습니다. 연결이 끊어지면 Logstash 서비스를 다시 시작하십시오.