Linksammlung: Monitoring von Windows Security Events mit ELK

Keine Sorge, das ist keine weitere Detailbeschreibung, wie man am besten ELK aufsetzt, um Windows Events dort zu sammeln, sondern eine Linksammlung für den ELK-Rookie (wie ich einer bin 😉 )

Aufsetzen der Server-Komponenten:

Als erstes muss Java installiert werden. (Hat man ja typischerweise auf Servern nicht installiert)

Elasticsearch

Download: https://www.elastic.co/de/downloads/elasticsearch

Offizielle Doku: https://www.elastic.co/guide/en/elasticsearch/reference/current/_installation.html

Prinzipiell muss erstmal keine weitere Konfiguration erfolgen

Logstash

Download: https://www.elastic.co/de/downloads/logstash

Offizielle Doku: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html

Hier muss die Konfiguration angepasst werden.

Der Server-Port muss für die jeweilige Datenquelle definiert werden. In meinem Fall Winlogbeats

input {
  beats {
    port => 5044
  }
}

Und der elasticsearch-Server als Ziel: (Bei mir auf der gleichen Maschine)

output {
  elasticsearch {
     hosts => [„localhost:9200“]
     index => „logstash-winlogbeat-%{+YYYY.MM.dd}“
 }
}

Kibana

Download: https://www.elastic.co/de/downloads/kibana

Offizielle Doku: https://www.elastic.co/guide/en/kibana/current/windows.html

Wenn man alles auf der gleichen Maschine mit den Default-Konfigurationen haben sollte, muss die Konfig noch nicht mal angepasst werden. 😉

Ein schöne Zusammenfassung der Bereitstellung der Serverkomponenten findet sich hier: https://blog.microideation.com/2016/02/27/analyzing-monitoring-application-logs-using-elk-stack/

 

Bereitstellen der Daten

Jetzt brauchen wir natürlich noch Daten. In meinem Fall dienen (aus Securitygründen) Windows Event Collectoren als Datenquelle. (https://msdn.microsoft.com/en-us/library/bb427443(v=vs.85).aspx)

Zum Einsammeln der Events dient Winlogbeats.

Download: https://www.elastic.co/de/downloads/beats/winlogbeat

Offizielle Doku: https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html

Doku passend für WEC: https://www.syspanda.com/index.php/2017/03/01/sending-windows-event-forwarder-server-wef-logs-to-elasticsearch/

 

Weitere informative Links zu dem Thema:

http://www.syspanda.com/index.php/2017/02/07/setting-up-elasticsearch-5-x-monitoring-and-visualizing-logs-with-kibana-part-3/

https://logz.io/learn/complete-guide-elk-stack/

https://logz.io/blog/installing-the-elk-stack-on-windows/

 

 

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s