Beats：如何使用Winlogbeat

Winlogbeat是Windows事件日志的轻量级数据发送器。 虽然Elastic群集通常用于实时监视，但是可以对Winlogbeat进行调整，以手动将“冷日志”或旧的非活动Windows事件日志（EVTX）手动发送给Elastic Stack。 该功能使分析人员可以从收集的系统图像中提取EVTX文件，并利用Elastic堆栈的功能进行调查。

这为使用Elastic Stack作为DFIR分析人员的事后调查工具打开了大门，而不仅仅是实时分析。 该帖子介绍了参与此过程的可能方法。

 

你需要准备的

• 运行正常的Elastic堆栈（不需要Logstash）

         - 单节点或多节点均可接受。对于还没有安装Elasticsearch及Kibana的开发者来说，请参阅文章“Elastic：菜鸟上手指南”。

• Ubuntu， MacOS 或CentOS作为您的Elastic Stack Node OS
• Windows主机从以下位置发送EVTX日志文件
• Winlogbeat数据发送器

它是如何工作的

Winlogbeat是由Elastic创建的数据传送器，用于在发生时将“热”或实时EVTX文件发送到Elastic堆栈。 这样就可以基于记录的实时事件实时监视系统。 对于数字取证调查员来说，这些数据通常从不热，而从冷的角度出发-是从在特定时间点锁定的系统的图像中收集的。

对于所有设置和配置，Winlogbeat均使用默认配置文件“winlogbeat.yml”运行。 该程序通常还作为服务在主机上运行，在创建时抓取EVTX数据时在后台运行。

下载Winlogbeat

我们在我们的Windows机器里下载Winlogbeat。下载地址为：

Download Link: https://www.elastic.co/downloads/beats/winlogbeat

我们可以根据自己的版本（和Elasticsearch一样的版本）来进行下载。下载后，解压缩内容并将生成的Winlogbeat文件夹放置在系统上您认为合适的任何位置。比如针对我的设置，我解压到如下的目录：

我们可以从上面看出来有一个叫作winlogbeat.yaml的配置文件。在下面的章节里我们将用到。

配置Winlogbeat

在做这一步之前，我们首先把我们的Elasticsearch及Kibana安装好，并运行起来

配置Winlogbeat也是非常简单的。在解压缩的Winlogbeat文件夹中，您应该看到一个标有“winlogbeat.yml”的文件-这是该服务的默认配置。 如果以前没有在Elastic群集中使用Winlogbeat，请继续执行以下步骤。 如果您已在Elastic群集中使用Winlogbeat，请随时保留“winlogbeat.yml”并跳过这些步骤。

在您喜欢的文本编辑器中打开“winlogbeat.yml”。 向下滚动到“output”部分，然后修改“hosts”选项以类似于您的Elasticsearch实例的IP。 对于单节点集群，Elasticsearch与其余Elastic进程位于同一节点上。

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.0.100:9200"]

上面是我的配置，这是因为我把我的Elasticsearch置于和Windows同样的机器中。在实际的使用中，你需要修改这个地址，并放入自己的IP地址。同时为了能够在Kibana中使用默认的dashboard，我们也同时必须配置Kibana的地址：

setup.kibana:

  # Kibana Host
  # Scheme and port can be left out and will be set to the default (http and 5601)
  # In case you specify and additional path, the scheme is required: http://localhost:5601/path
  # IPv6 addresses should always be defined as: https://[2001:db8::1]:5601
  host: "192.168.0.100:5601"

同样地，我把我的Kibana置于和Windows在一起的机器中。在实际的使用中，这个地址需要根据自己的设置来调整。

完成后，保存文件，然后在主机上以管理员身份打开PowerShell窗口。 我们想要将必要的Winlogbeat模板上载到Elastic栈中，以进行正确的解析。 在此窗口中，导航到Winlogbeat文件夹并运行以下命令：

.\winlogbeat.exe setup -e 

上面显示：Kibana已经成功地装载了相应的template。

运行Winlogbeat

接下来的一步就非常简单了。我们可以在PowerShell中打入如下的命令：

 .\winlogbeat.exe -e -c winlogbeat.yml

我们可以看到一件有许多的事件被成功发布到Elasticsearch中了。

在Kibana中查看数据

这个时候，我们可以打开Kibana。点击Discover，这时我们可以看到：

我们可以看到一个以Winlogbeat我开头的索引。这个索引实际上就是我们刚才在Windows下运行winlogbeat.exe所生成的索引。

在之前我们已经对Kibana的dashboard进行了配置，那么我们现在直接点击Dashboard，并选择Winlogbeat Dashboard ECS:

我们可以看到如下的界面：

 

如果你没有看到数据，请选择右上角的时间范围。在上面显示有3个事件。如果我们接着向下翻动，我们可以看到：

显示有3个警告。

如果我们把时间弄的更长一些，会有更多的数据：

参考：

【1】https://burnhamforensics.com/2019/11/19/manually-upload-evtx-log-files-to-elk-with-winlogbeat-and-powershell/

来源：CSDN

作者：Elastic专属

链接：https://blog.csdn.net/UbuntuTouch/article/details/103170326