elk_stack:winlogbeat_installatie
Table of Contents
Winlogbeat installatie
context
dit document beschrijft de installatie van Winlogbeat op Windows
installatie
- Kibana: Observability > Overview: Add integrations
- filter op Beats only, zoek: Windows
- kies: Windows Event Logs
- volg de installatie instructies
- download Zip file
- pak uit onder C:\Program Files en hernoem naar winlogbeat
- start powershell-as-admin en voer uit:
powershell.exe -ExecutionPolicy UnRestricted -File "C:\Program Files\winlogbeat\install-service-winlogbeat.ps1"
configuratie
bestand
- open
winlogbeat.yml
- output.elasticsearch:
- zet in commentaar (#)
- #output.logstash:
- #hosts: [“localhost:5044”]
- zet beide uit commentaar en vul de logstash server in
- bewaar je wijzigingen
- start Winlogbeat:
Start-Service winlogbeat
Om de windows eventlogs te kiezen die je wilt, bewerk je onderstaande sectie
winlogbeat.event_logs: - name: Application ignore_older: 72h - name: System - name: Security
Om te zien welke eventlogs beschikbaar zijn op de computer, voer je onderstaand PS commando uit: get-eventlog *
In geval van een eerste installatie van Winlogbeat, dien je nog onderstaande stappen eenmalig uit te voeren:
indexing
- laad de indexing template:
- start powershell-as-admin en voer uit:
.\winlogbeat.exe setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["elk:9200]'
kibana dashboards
- start powershell-as-admin en voer uit:
.\winlogbeat.exe setup -e -E output.logstash.enabled=false -E output.elasticsearch.hosts=["elk:9200"] -E setup.kibana.host=kibana:5601
- start Winlogbeat:
Start-Service winlogbeat
meer info
elk_stack/winlogbeat_installatie.txt · Last modified: 2023/09/27 11:56 by admin