Configurer correctement la collecte de logs sur Windows peut être complexe et fastidieux, surtout sans les outils appropriés.
Sans une collecte efficace, les données critiques peuvent être manquées, rendant le diagnostic réseau difficile et peu fiable.
Cet article explore comment utiliser Winlogbeat et Packetbeat pour simplifier le processus de collecte et d’analyse des logs avec Kibana et Elasticsearch.
Devenez expert dans l'utilisation d'Elastic pour analyser les données !
Cette section vous guidera dans le déploiement de Winlogbeat et Packetbeat , deux outils de Beats, qui facilitent la collecte de journaux Windows et le suivi des paquets réseau. Nous allons suivre un processus étape par étape pour les installer et les configurer correctement dans un environnement Windows.
Winlogbeat : Déploiement sur Windows
Étape 1 : Rendez-vous sur la page d’accueil de Kibana et cliquez sur « Add Integrations ».
Ensuite, dans le filtre, sélectionnez « Beats only » et recherchez » Windows Event Logs » dans la barre de recherche.
Étape 2 : Téléchargez Winlogbeat
Copiez le lien d’installation depuis Elastic, puis collez-le dans votre navigateur sur la machine virtuelle Windows. Une fois la page affichée, sélectionnez le fichier ZIP pour télécharger Winlogbeat.
Puis :
Après téléchargement, extrayez le fichier sur le bureau pour éviter tout problème d’autorisation, puis déplacez-le vers le dossier C:\Program Files . Vous pouvez renommer le dossier en « winlogbeat ».
Étape 3 : Configuration du fichier winlogbeat.yml
Accédez au fichier winlogbeat.yml dans C:\Program Files\Winlogbeat et ouvrez-le avec un éditeur de texte comme Notepad.
Maintenant Vous devrez configurer la section Elasticsearch Output comme suit :
Donc comme indiquer dans la figure 47 on va copier le texte et le coller dans C:\Program Files\Winlogbeat\winlogbeat.yml .
Après avoir effectué les modifications, il est nécessaire de récupérer l’adresse IP en utilisant la commande ip a , puis d’ajouter le nom d’utilisateur et le mot de passe (vous pouvez les retrouver dans la section de configuration d’Elasticsearch que nous avons vue précédemment). Ensuite, pour obtenir l’empreinte du certificat Elasticsearch, suivez ces étapes : connectez-vous à votre serveur Ubuntu, ouvrez un terminal et exécutez les commandes suivantes :
openssl x509 -fingerprint -sha256 -in http_ca.crt
Cela vous donnera le résultat suivant :
Et notre code devient, après avoir retiré les “ : ” de l’empreinte digitale (fingerprint) :
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
hosts: ["192.168.95.132:9200"]
username: "elastic"
password: "x*7YakTLxxqL*dgg5eze5"
# If using Elasticsearch's default certificate
ssl.ca_trusted_fingerprint: "8E712FD4D95EDDB2CAC2608310178E1762891C066B182E22ECB4041E6A616F57"
setup.kibana:
host: "https://192.168.95.132:5601"
pipeline: "winlogbeat-%{[agent.version]}-routing"
Maintenant, enregistrez les modifications. Si vous utilisez un autre éditeur de texte, assurez-vous que le fichier a bien été modifié. Pour ce faire, vous pouvez copier le fichier sur le bureau, le modifier, puis le remettre dans son emplacement. Ensuite, rendez-vous dans le dossier de Winlogbeat , sélectionnez le fichier, et ouvrez-le avec PowerShell en mode administrateur, comme illustré dans la figure suivante :
Ensuite, exécutez les deux commandes suivantes :
powershell.exe -ep bypass
.\install-service-winlogbeat.ps1
Cela installera le service Winlogbeat. Vous obtiendrez un message confirmant l’installation réussie du service :
Une fois le service Winlogbeat installé, pour vérifier si l’installation a été réussie, exécutez la commande suivante dans PowerShell :
.\winlogbeat.exe -e
Vous devriez obtenir un résultat similaire à celui illustré dans la figure suivante :
Après avoir suivi toutes ces étapes, retournez sur votre machine Ubuntu , ouvrez Kibana , et cliquez sur « Check Data ». Si la configuration est correcte, un message de validation s’affichera, comme illustré ci-dessous.
Création des clés de chiffrement
À présent, nous allons générer des clés de chiffrement, qui permettent de protéger les propriétés sensibles, notamment au niveau des alertes que nous allons stocker dans Elasticsearch. Pour ce faire, suivez les étapes indiquées par Elastic :
- Récupérez la commande suivante :
./kibana-encryption-keys generate
Collez-la dans le terminal de votre machine Ubuntu en vous rendant d’abord dans le répertoire Kibana :
cd /usr/share/kibana/bin
Exécutez la commande. Vous obtiendrez trois lignes de configuration relatives aux clés de chiffrement (comme illustré dans la figure suivante) :
Ajoutez ensuite ces trois lignes au fichier kibana.yml sur votre machine Ubuntu . Accédez au fichier de configuration via les commandes suivantes :
cd /etc/kibana
ls
gedit kibana.yml
Ajoutez les lignes récupérées au bas du fichier, comme suit :
f052d6073b4ceaa29e572b
xpack.encryptedSavedObjects.encryptionKey: a4d11e26bb6d3e17fd600c9de1afc900
xpack.reporting.encryptionKey: 518ab88ec3f7293009f13b35e9fd46c9
xpack.security.encryptionKey: 0c4abd42d9f052d6073b4ceaa29e572b
Après avoir ajouté ces lignes, redémarrez le service Kibana pour appliquer les modifications :
Service kibana restart
Service kibana status
Si tout fonctionne correctement, vous verrez le service Kibana redémarrer sans erreur, comme montré dans la figure suivante:
Maintenant, ouvrez Kibana et naviguez vers la section « View Hosts ». Vous pourrez visualiser les différents hôtes et les activités récentes, comme illustré dans la figure suivante.
Vous pourrez également examiner en détail chaque événement, soit sous forme de tableau, soit en format JSON, comme montré dans les figures suivantes.
Cela conclut la configuration de Winlogbeat . Vous avez désormais la possibilité d’explorer et de visualiser les logs dans Kibana .
Packetbeat : Configuration Windows
Installation de Npcap : Commencez par installer Npcap sur votre machine Windows .
Figure 59 : Installation de Npcap.
Téléchargement et installation de Packetbeat : Téléchargez Packetbeat depuis le site officiel d’Elastic en sélectionnant le fichier .zip.
Extraction et organisation : Extrayez le fichier téléchargé sur le Bureau , puis déplacez-le dans le dossier Programmes et renommez le dossier en Packetbeat , comme nous l’avons fait précédemment avec Winlogbeat .
Et voici a quoi recembler note dossier programme :
Configuration de Packetbeat : Accédez au fichier packetbeat.yml pour le configurer. Commencez par modifier la ligne :
On va tout d’abord configurer packetbeat.interfaces.device: default_route vers packetbeat.interfaces.device: any comme suit :
# =============================Network device==================================
packetbeat.interfaces.device:any
Configuration de l’output Elasticsearch : Configurez la partie Elasticsearch output comme vous l’avez fait pour Winlogbeat , mais assurez-vous que pour setup.kibana , le protocole utilisé soit http au lieu de https .
Configuration de Kibana : Pour éviter tout problème de connexion à Kibana , ouvrez le fichier kibana.yml et entrez l’adresse IP de votre machine Ubuntu . Vous pouvez la récupérer avec la commande ip a .
Relancer le service Kibana : Une fois les modifications apportées à kibana.yml , redémarrez le service Kibana avec les commandes suivantes :
service kibana restart
service kibana status
Cela permet de s’assurer que Kibana fonctionne correctement.
Installation de Packetbeat : Pour installer Packetbeat , accédez à PowerShell sur votre machine Windows et exécutez les commandes suivantes :
powershell.exe -ep bypass
.\packetbeat.exe setup -e
Accès à Kibana : Ouvrez Kibana sur les deux machines (Ubuntu et Windows) en accédant à l’adresse suivante dans un navigateur : votre_adress_IP_Ubuntu:5601
Exécution de Packetbeat : Dans PowerShell sur votre machine Windows , accédez au dossier Packetbeat :
Puis exécutez la commande suivante pour lancer Packetbeat :
\.packetbeat.exe -e
Visualisation dans Kibana : Pour visualiser les enregistrements de Packetbeat , retournez dans Kibana sur votre machine Ubuntu . Vous pourrez observer les différents paquets collectés par Packetbeat .
En cliquant sur un paquet, vous pouvez voir encore plus de détails.
Résumé :
Dans cette section, nous avons procédé à l’installation et à la configuration de Packetbeat sur une machine Windows , en commençant par l’installation de Npcap et le téléchargement de Packetbeat . Après avoir extrait et déplacé le fichier dans le dossier Programmes , nous avons configuré le fichier packetbeat.yml pour surveiller les interfaces réseau et rediriger les logs vers Elasticsearch . Ensuite, nous avons mis à jour la configuration de Kibana pour faciliter la connexion entre les machines Windows et Ubuntu . Finalement, nous avons lancé Packetbeat via PowerShell et vérifié que les paquets étaient bien enregistrés dans Kibana pour analyse.
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.
FAQ
Comment installer Winlogbeat sur Windows?
Quelles sont les étapes pour configurer Packetbeat?
Comment vérifier si la configuration de Winlogbeat est réussie?
Comment générer des clés de chiffrement dans Kibana?
Comment visualiser les logs dans Kibana après avoir installé Packetbeat?
Conclusion
En suivant ces instructions, vous êtes maintenant prêt à exploiter pleinement les capacités de Beats sur votre système Windows. Quels autres outils de Beats envisagez-vous d’explorer pour optimiser votre gestion de logs?