====== Sysmon installatie======
[[elk_stack:elk_stack|{{ :elk_stack:icon.jpg?120|}}]]
===== context=====
dit document beschrijft de installatie van Sysmon op Windows
===== installatie =====
* Kibana: Observability > Overview: Add integrations
* filter op **Beats only**, zoek: Windows
* kies: **Windows Event Logs**
* volg de installatie instructies
* [[https://www.elastic.co/downloads/beats/winlogbeat|download]] Zip file
* pak uit onder **C:\Program Files** en hernoem naar **winlogbeat**
* start powershell-as-admin en voer uit: powershell.exe -ExecutionPolicy UnRestricted -File "C:\Program Files\winlogbeat\install-service-winlogbeat.ps1"
===== configuratie =====
==== bestand ====
- open ''winlogbeat.yml''
- output.elasticsearch:
- zet in commentaar (#)
- #output.logstash:
- #hosts: ["localhost:5044"]
- zet beide uit commentaar en vul de logstash server in
- bewaar je wijzigingen
- start Winlogbeat: ''Start-Service winlogbeat''
In geval van een **eerste** installatie van Winlogbeat, dien je nog onderstaande stappen **eenmalig** uit te voeren:
==== indexing ====
- laad de indexing template:
- start powershell-as-admin en voer uit:.\winlogbeat.exe setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["elk:9200]'
==== kibana dashboards ====
- start powershell-as-admin en voer uit:.\winlogbeat.exe setup -e -E output.logstash.enabled=false -E output.elasticsearch.hosts=["elk:9200"] -E setup.kibana.host=kibana:5601
- start Winlogbeat: ''Start-Service winlogbeat''
===== meer info =====
- [[https://www.elastic.co/guide/en/beats/filebeat/7.5/setup-repositories.html|installatie]]
- [[elk_stack:logstash_configuratie|logstash_configuratie]]
{{tag>elk_stack filebeat}}