Die Verwaltung von Ereignissen, die auf einem Windows-Betriebssystem auftreten, ist für Systemadministratoren eine wichtige Aufgabe. Das Windows-Ereignisprotokoll enthält wertvolle Informationen zu verschiedenen Vorfällen wie Fehlern, Warnungen oder erfolgreichen Vorgängen. Es kann jedoch mühsam und zeitaufwendig sein, diese Informationen manuell zu verarbeiten und zu analysieren.
Eine Möglichkeit, das Sammeln und Analysieren des Windows-Ereignisprotokolls zu automatisieren, besteht darin, das Logstash-Tool zu verwenden. Logstash ist Teil des beliebten ELK-Stacks (Elasticsearch, Logstash, Kibana) und wurde entwickelt, um Daten zu verarbeiten, zu sammeln und zu analysieren. Aufgrund seiner Flexibilität und leistungsstarken Funktionen ermöglicht Logstash das Sammeln und Strukturieren des Windows-Ereignisprotokolls zur weiteren Analyse.
Um mit Logstash zu beginnen, müssen Sie es auf dem Server installieren und konfigurieren, der das Windows-Ereignisprotokoll erfasst und analysiert. Sie müssen dann die erforderlichen Parameter angeben, z. B. die Datenquelle (Windows Event Log), den zu erfassenden Ereignistyp und das Format des Datensatzes. Danach wird Logstash das ausgewählte Windows-Ereignisprotokoll abhören oder abfragen und die Daten an Elasticsearch weiterleiten, wo sie zur späteren Analyse gespeichert werden.
Die Analyse des Windows-Ereignisprotokolls mithilfe des ELK-Stapels ermöglicht es Systemadministratoren, Anomalien zu erkennen, die Systemleistung zu überwachen, mögliche Sicherheitsrisiken zu überwachen und vieles mehr. Darüber hinaus ermöglicht dieser Ansatz die Visualisierung und Aggregation von Daten, wodurch die Arbeit mit einer großen Menge an Informationen vereinfacht und die Entscheidungsfindung verbessert wird.
So konfigurieren Sie Logstash, um das Windows-Ereignisprotokoll zu erfassen
Führen Sie die folgenden Schritte aus, um Logstash so zu konfigurieren, dass das Windows-Ereignisprotokoll erfasst wird:
Schritt 1: Installieren Sie Logstash auf Ihrem System. Laden Sie dazu die entsprechende Distribution von der offiziellen Website von Logstash herunter und folgen Sie den Installationsanweisungen.
Schritt 2: Installieren Sie das Logstash-Plugin, mit dem Sie das Windows-Ereignisprotokoll erfassen können. Öffnen Sie eine Eingabeaufforderung, und führen Sie den Befehl aus:
bin/logstash-plugin install logstash-input-winlog
Schritt 3: Erstellen Sie eine Logstash-Konfigurationsdatei, um das Windows-Ereignisprotokoll zu sammeln. Öffnen Sie einen Texteditor, und erstellen Sie eine neue Datei mit der Erweiterung .conf. Schreiben Sie den folgenden Code in die Datei:
input ["Application", "System", "Security"]>>output ["localhost:9200"]index => "windows-events">>Sie können alle gewünschten Ereignisprotokolle im Feld "event_logs" angeben.
Schritt 4: Starten Sie Logstash mit der angegebenen Konfigurationsdatei. Öffnen Sie eine Eingabeaufforderung, und führen Sie den Befehl aus:
Schritt 5: Warten Sie, bis Logstash mit dem Sammeln von Windows-Ereignisprotokollen beginnt. Die gesammelten Daten werden an Elasticsearch gesendet. Stellen Sie daher sicher, dass Sie Elasticsearch zum Speichern dieser Daten installiert und konfiguriert haben.
Logstash ist jetzt so konfiguriert, dass das Windows-Ereignisprotokoll erfasst wird. Sie können diese Daten in Ihren Projekten und Überwachungssystemen analysieren und verwenden.
Installation und Konfiguration von Logstash
1. Installation von Logstash
Stellen Sie sicher, dass Java Runtime Environment (JRE) Version 8 oder höher auf Ihrem System installiert ist, bevor Sie mit der Installation von Logstash beginnen. Wenn die JRE nicht installiert ist, müssen Sie sie von der Oracle-Website herunterladen und installieren.
Um Logstash auf einem Windows-Betriebssystem zu installieren, müssen Sie die folgenden Schritte ausführen:
- Laden Sie die Logstash-Distribution von der offiziellen Website herunter elastic.co .
- Entpacken Sie das Archiv mit Logstash in das von Ihnen gewählte Verzeichnis.
- Öffnen Sie die Eingabeaufforderung und navigieren Sie zu dem Verzeichnis, in das Sie Logstash entpackt haben.
2. Logstash-Konfiguration zum Sammeln des Windows-Ereignisprotokolls
Erstellen Sie eine Konfigurationsdatei mit der Erweiterung, um den Logstash zu konfigurieren und die Erfassung des Windows-Ereignisprotokolls zu konfigurieren.conf im von Ihnen gewählten Verzeichnis. Zum Beispiel logstash.conf
Öffnen Sie die erstellte Konfigurationsdatei mit einem Texteditor, und fügen Sie den folgenden Code hinzu:
input "windows"name => "System"tags => ["windows"]>>output ["localhost:9200"]index => "%-%-%"user => "elastic"password => "changeme">>In diesem Beispiel haben wir angegeben, dass Logstash Daten aus dem Systemprotokoll (System) sammeln und zur Indizierung an Elasticsearch senden soll. Ersetzen Sie die Werte im Feld hosts durch die Adresse Ihres Elasticsearch-Servers. Ersetzen Sie user und password durch Ihre Zugangsdaten für den Zugriff auf Elasticsearch.
3. Logstash starten
Um Logstash auszuführen, öffnen Sie eine Eingabeaufforderung, navigieren Sie zu dem Verzeichnis, in dem sich Logstash befindet, und führen Sie den folgenden Befehl aus:
bin\logstash -f logstash.confWo ist logstash?conf ist der Name Ihrer Konfigurationsdatei.
Nach dem Start beginnt Logstash damit, Daten aus dem Windows-Ereignisprotokoll zu sammeln und zur Indizierung an Elasticsearch zu senden.
Beispiel zum Konfigurieren von Logstash zum Erfassen und Analysieren des Windows-Ereignisprotokolls
1. Installieren Sie Logstash mithilfe der bereitgestellten Anweisungen auf dem Server.
2. Erstellen Sie eine Logstash-Konfigurationsdatei, um Daten aus dem Windows-Ereignisprotokoll zu sammeln. Hier ist ein Beispiel für den Inhalt der Datei:
input 'windows-eventlog'logfile => 'Application'format => 'json'>>
filter < "[event_data][Message]" =>"message" >>>>
output ['localhost:9200']index => 'windows-events-%'>>
3. Speichern Sie die Datei mit der Erweiterung .conf.
4. Führen Sie Logstash aus, indem Sie den Pfad zur erstellten Konfigurationsdatei angeben:
logstash -f /path/to/logstash.conf
5. Logstash beginnt damit, Daten aus dem Windows-Ereignisprotokoll zu sammeln und zur Indizierung und Analyse an Elasticsearch zu senden.
Als Ergebnis erhalten Sie indizierte Daten, die zur Visualisierung und Überwachung in Kibana analysiert und angezeigt werden können.
Wenn Sie Logstash erfolgreich einrichten, können Sie das Windows-Ereignisprotokoll effizient erfassen und analysieren, sodass Sie wertvolle Informationen über den Zustand und die Leistung Ihres Systems erhalten können.
