Infrastructure

Déploiement de Beats sur Windows pour la collecte de logs

L'Équipe Alphorm Par L'Équipe Alphorm

Configurer correctement la collecte de logs sur Windows peut être complexe et fastidieux, surtout sans les outils appropriés.

Sans une collecte efficace, les données critiques peuvent être manquées, rendant le diagnostic réseau difficile et peu fiable.

Cet article explore comment utiliser Winlogbeat et Packetbeat pour simplifier le processus de collecte et d’analyse des logs avec Kibana et Elasticsearch.

Table de matière
Winlogbeat : Déploiement sur WindowsPacketbeat : Configuration WindowsFAQConclusion

Formation Elastic : Maitriser les fondamentaux - Formation Complète

Devenez expert dans l'utilisation d'Elastic pour analyser les données !

Découvrir cette formation

Cette section vous guidera dans le déploiement de Winlogbeat et Packetbeat , deux outils de Beats, qui facilitent la collecte de journaux Windows et le suivi des paquets réseau. Nous allons suivre un processus étape par étape pour les installer et les configurer correctement dans un environnement Windows.

Winlogbeat : Déploiement sur Windows

Étape 1 : Rendez-vous sur la page d’accueil de Kibana et cliquez sur « Add Integrations ».

Capture de l'ajout d'intégrations Beats

Ensuite, dans le filtre, sélectionnez « Beats only » et recherchez  » Windows Event Logs  » dans la barre de recherche.

Écran de choix Beats pour Windows sur Elastic

Étape 2 : Téléchargez Winlogbeat

Copiez le lien d’installation depuis Elastic, puis collez-le dans votre navigateur sur la machine virtuelle Windows. Une fois la page affichée, sélectionnez le fichier ZIP pour télécharger Winlogbeat.

Instructions pour installer Winlogbeat sur Windows

Puis :

Instructions pour télécharger Winlogbeat

Après téléchargement, extrayez le fichier sur le bureau pour éviter tout problème d’autorisation, puis déplacez-le vers le dossier C:\Program Files . Vous pouvez renommer le dossier en « winlogbeat ».

Dossier Winlogbeat dans Programmes Windows

Étape 3 : Configuration du fichier winlogbeat.yml

Accédez au fichier winlogbeat.yml dans C:\Program Files\Winlogbeat et ouvrez-le avec un éditeur de texte comme Notepad.

Contenu du dossier Winlogbeat sur Windows

Maintenant Vous devrez configurer la section Elasticsearch Output comme suit :

Instructions config Winlogbeat Windows

Donc comme indiquer dans la figure 47 on va copier le texte et le coller dans C:\Program Files\Winlogbeat\winlogbeat.yml .

Après avoir effectué les modifications, il est nécessaire de récupérer l’adresse IP en utilisant la commande ip a , puis d’ajouter le nom d’utilisateur et le mot de passe (vous pouvez les retrouver dans la section de configuration d’Elasticsearch que nous avons vue précédemment). Ensuite, pour obtenir l’empreinte du certificat Elasticsearch, suivez ces étapes : connectez-vous à votre serveur Ubuntu, ouvrez un terminal et exécutez les commandes suivantes : 

				
					
     openssl x509 -fingerprint -sha256 -in http_ca.crt

Cela vous donnera le résultat suivant :

Commande OpenSSL pour certificat sur Ubuntu

Et notre code devient, après avoir retiré les “ : ” de l’empreinte digitale (fingerprint) : 

				
					
     # ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
hosts: ["192.168.95.132:9200"]
username: "elastic"
password: "x*7YakTLxxqL*dgg5eze5"
# If using Elasticsearch's default certificate
ssl.ca_trusted_fingerprint: "8E712FD4D95EDDB2CAC2608310178E1762891C066B182E22ECB4041E6A616F57"
setup.kibana:
host: "https://192.168.95.132:5601"
pipeline: "winlogbeat-%{[agent.version]}-routing"

Maintenant, enregistrez les modifications. Si vous utilisez un autre éditeur de texte, assurez-vous que le fichier a bien été modifié. Pour ce faire, vous pouvez copier le fichier sur le bureau, le modifier, puis le remettre dans son emplacement. Ensuite, rendez-vous dans le dossier de Winlogbeat , sélectionnez le fichier, et ouvrez-le avec PowerShell en mode administrateur, comme illustré dans la figure suivante :

Fenêtre Winlogbeat avec PowerShell

Ensuite, exécutez les deux commandes suivantes : 

				
					
     powershell.exe -ep bypass
.\install-service-winlogbeat.ps1

Cela installera le service Winlogbeat. Vous obtiendrez un message confirmant l’installation réussie du service :

Console PowerShell configurant Winlogbeat

Une fois le service Winlogbeat installé, pour vérifier si l’installation a été réussie, exécutez la commande suivante dans PowerShell : 

				
					
     .\winlogbeat.exe -e

Vous devriez obtenir un résultat similaire à celui illustré dans la figure suivante :

Capture de Winlogbeat exécuté sur Windows

Après avoir suivi toutes ces étapes, retournez sur votre machine Ubuntu , ouvrez Kibana , et cliquez sur « Check Data ». Si la configuration est correcte, un message de validation s’affichera, comme illustré ci-dessous.

Instructions déploiement Winlogbeat Windows
Capture des événements Beats avec erreur système

Création des clés de chiffrement

À présent, nous allons générer des clés de chiffrement, qui permettent de protéger les propriétés sensibles, notamment au niveau des alertes que nous allons stocker dans Elasticsearch. Pour ce faire, suivez les étapes indiquées par Elastic :

  • Récupérez la commande suivante : 
				
					
     ./kibana-encryption-keys generate

Collez-la dans le terminal de votre machine Ubuntu en vous rendant d’abord dans le répertoire Kibana : 

				
					
     cd /usr/share/kibana/bin

Exécutez la commande. Vous obtiendrez trois lignes de configuration relatives aux clés de chiffrement (comme illustré dans la figure suivante) :

Capture écran commande cryptage Kibana

Ajoutez ensuite ces trois lignes au fichier kibana.yml sur votre machine Ubuntu . Accédez au fichier de configuration via les commandes suivantes : 

				
					
     cd /etc/kibana
ls
gedit kibana.yml

Ajoutez les lignes récupérées au bas du fichier, comme suit :

f052d6073b4ceaa29e572b 

				
					
     xpack.encryptedSavedObjects.encryptionKey: a4d11e26bb6d3e17fd600c9de1afc900
xpack.reporting.encryptionKey: 518ab88ec3f7293009f13b35e9fd46c9
xpack.security.encryptionKey: 0c4abd42d9f052d6073b4ceaa29e572b

Après avoir ajouté ces lignes, redémarrez le service Kibana pour appliquer les modifications : 

				
					
     Service kibana restart
Service kibana status

Si tout fonctionne correctement, vous verrez le service Kibana redémarrer sans erreur, comme montré dans la figure suivante:

Commande statut Kibana sur Linux

Maintenant, ouvrez Kibana et naviguez vers la section « View Hosts ». Vous pourrez visualiser les différents hôtes et les activités récentes, comme illustré dans la figure suivante.

Tableau de bord des événements Beats

Vous pourrez également examiner en détail chaque événement, soit sous forme de tableau, soit en format JSON, comme montré dans les figures suivantes.

Tableau de bord avec statistiques Beats
Interface de gestion Beats affichant des événements sur Windows
Tableau de bord pour Beats sur Windows

Cela conclut la configuration de Winlogbeat . Vous avez désormais la possibilité d’explorer et de visualiser les logs dans Kibana .

Packetbeat : Configuration Windows

Installation de Npcap : Commencez par installer Npcap sur votre machine Windows .

Figure 59 : Installation de Npcap.

Téléchargement et installation de Packetbeat : Téléchargez Packetbeat depuis le site officiel d’Elastic en sélectionnant le fichier .zip.

Interface de sélection pour Beats Windows

Extraction et organisation : Extrayez le fichier téléchargé sur le Bureau , puis déplacez-le dans le dossier Programmes et renommez le dossier en Packetbeat , comme nous l’avons fait précédemment avec Winlogbeat .

Et voici a quoi recembler note dossier programme :

Capture d'écran montrant des dossiers Beats

Configuration de Packetbeat : Accédez au fichier packetbeat.yml pour le configurer. Commencez par modifier la ligne :

On va tout d’abord configurer packetbeat.interfaces.device: default_route vers packetbeat.interfaces.device: any comme suit :

Exemple de configuration Packetbeat 
				
					
     # =============================Network device==================================
packetbeat.interfaces.device:any

Configuration de l’output Elasticsearch : Configurez la partie Elasticsearch output comme vous l’avez fait pour Winlogbeat , mais assurez-vous que pour setup.kibana , le protocole utilisé soit http au lieu de https .

Configuration de Kibana : Pour éviter tout problème de connexion à Kibana , ouvrez le fichier kibana.yml et entrez l’adresse IP de votre machine Ubuntu . Vous pouvez la récupérer avec la commande ip a .

Capture de la config du fichier kibana.yml

Relancer le service Kibana : Une fois les modifications apportées à kibana.yml , redémarrez le service Kibana avec les commandes suivantes : 

				
					
     service kibana restart
service kibana status

Cela permet de s’assurer que Kibana fonctionne correctement.

Installation de Packetbeat : Pour installer Packetbeat , accédez à PowerShell sur votre machine Windows et exécutez les commandes suivantes : 

				
					
     powershell.exe -ep bypass
.\packetbeat.exe setup -e

Accès à Kibana : Ouvrez Kibana sur les deux machines (Ubuntu et Windows) en accédant à l’adresse suivante dans un navigateur : votre_adress_IP_Ubuntu:5601

Tableau de bord Elastic sur Windows

Exécution de Packetbeat : Dans PowerShell sur votre machine Windows , accédez au dossier Packetbeat :

Menu pour ouvrir PowerShell sur Windows

Puis exécutez la commande suivante pour lancer Packetbeat : 

				
					
     \.packetbeat.exe -e
Configuration Packetbeat via PowerShell

Visualisation dans Kibana : Pour visualiser les enregistrements de Packetbeat , retournez dans Kibana sur votre machine Ubuntu . Vous pourrez observer les différents paquets collectés par Packetbeat .

Dashboard de visualisation Elastic

En cliquant sur un paquet, vous pouvez voir encore plus de détails.

Résumé :

Dans cette section, nous avons procédé à l’installation et à la configuration de Packetbeat sur une machine Windows , en commençant par l’installation de Npcap et le téléchargement de Packetbeat . Après avoir extrait et déplacé le fichier dans le dossier Programmes , nous avons configuré le fichier packetbeat.yml pour surveiller les interfaces réseau et rediriger les logs vers Elasticsearch . Ensuite, nous avons mis à jour la configuration de Kibana pour faciliter la connexion entre les machines Windows et Ubuntu . Finalement, nous avons lancé Packetbeat via PowerShell et vérifié que les paquets étaient bien enregistrés dans Kibana pour analyse.

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Comment installer Winlogbeat sur Windows?
Pour installer Winlogbeat sur Windows, commencez par télécharger le fichier ZIP via la page officielle d’Elastic. Extrayez-le sur votre bureau pour éviter les problèmes d’autorisation, puis déplacez le dossier extrait dans ‘C:\Program Files’, en le renommant en ‘winlogbeat’. Configurez ensuite le fichier ‘winlogbeat.yml’ à partir de ‘C:\Program Files\Winlogbeat’. Suivez les instructions pour modifier les propriétés de sortie Elasticsearch, puis utilisez PowerShell en mode administrateur pour installer le service Winlogbeat.
La configuration de Packetbeat sur Windows commence par le téléchargement du fichier ZIP depuis le site d’Elastic. Une fois extrait et déplacé dans le dossier ‘Programmes’, configurez le fichier ‘packetbeat.yml’. Assurez-vous de modifier l’interface réseau par défaut et configurez la sortie Elasticsearch. Suivez les étapes pour tester la connexion avec Kibana et redémarrez le service Kibana si nécessaire. Enfin, exécutez Packetbeat via PowerShell pour commencer la collecte de paquets réseau.
Pour vérifier la configuration de Winlogbeat, après avoir installé le service, ouvrez PowerShell et exécutez ‘.\winlogbeat.exe -e’. Si l’installation est correcte, vous verrez dans la console des logs indiquant que Winlogbeat a été installé avec succès. Ensuite, connectez-vous à Kibana sur votre machine Ubuntu et cliquez sur ‘Check Data’. Un message de validation apparaîtra si tout est correctement configuré.
Pour générer des clés de chiffrement dans Kibana, accédez au répertoire ‘/usr/share/kibana/bin’ sur votre machine Ubuntu et exécutez ‘./kibana-encryption-keys generate’. Cela produira trois lignes de configuration, que vous devez ajouter au fichier ‘kibana.yml’. Assurez-vous que ces lignes sont bien intégrées et redémarrez le service Kibana avec ‘service kibana restart’ pour appliquer les modifications.
Après l’installation de Packetbeat, ouvrez Kibana sur votre machine Ubuntu en utilisant l’adresse IP appropriée. Naviguez vers la section ‘View Hosts’ pour visualiser les logs. Packetbeat enregistre les paquets réseau et ceux-ci peuvent être examinés en détail sous forme de tableau ou de JSON. Assurez-vous que la configuration de ‘packetbeat.yml’ est correcte pour garantir que les données sont envoyées à Elasticsearch pour être analysées dans Kibana.

Conclusion

En suivant ces instructions, vous êtes maintenant prêt à exploiter pleinement les capacités de Beats sur votre système Windows. Quels autres outils de Beats envisagez-vous d’explorer pour optimiser votre gestion de logs?

ÉTIQUETÉ : Elastic
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire