2020년 2월 2일 일요일

Winlogbeat의 파일 연동

winlogbeat가 스리슬쩍 이벤트 로그 파일 연동을 지원하고 있더라. 다음은 파일 연동 설정. 필드가 너무 많아서 event_id 필드만 남겼다.


연동 결과는 실행창에 뿌리도록 설정.


걱정과 달리 시간 정보도 실제 로그 발생 시간으로 잘 가져온다. 그런데 몇몇 필드는 include_fieldsdrop_fields 설정을 해도 끄떡이 없네(..)
PS D:\ELK\winlogbeat-7.5.2-windows-x86_64> .\winlogbeat.exe 
{
  "@timestamp": "2019-12-19T15:05:45.324Z",
  "@metadata": {
    "beat": "winlogbeat",
    "type": "_doc",
    "version": "7.5.2"
  },
  "winlog": {
    "event_id": 4624
  },
  "ecs": {
    "version": "1.1.0"
  },
  "host": {
    "hostname": "MHKANG",
    "architecture": "x86_64",
    "os": {
      "version": "10.0",
      "family": "windows",
      "name": "Windows 10 Pro",
      "kernel": "10.0.18362.592 (WinBuild.160101.0800)",
      "build": "18363.592",
      "platform": "windows"
    },
    "id": "c5aa717c-27fb-4d38-8ef7-3daae86b271f",
    "name": "MHKANG"
  },
  "agent": {
    "id": "cbe19d7c-087f-43a1-b3bb-15d9b6247560",
    "version": "7.5.2",
    "type": "winlogbeat",
    "ephemeral_id": "a028f6cc-2dcd-4bfa-920f-51ffd5ea11f2",
    "hostname": "MHKANG"
  }
}
{
  "@timestamp": "2019-12-20T13:31:00.297Z",
  "@metadata": {
    "beat": "winlogbeat",
    "type": "_doc",
    "version": "7.5.2"
  },
  "winlog": {
    "event_id": 4625
  },
  "host": {
    "name": "MHKANG",
    "hostname": "MHKANG",
    "architecture": "x86_64",
    "os": {
      "family": "windows",
      "name": "Windows 10 Pro",
      "kernel": "10.0.18362.592 (WinBuild.160101.0800)",
      "build": "18363.592",
      "platform": "windows",
      "version": "10.0"
    },
    "id": "c5aa717c-27fb-4d38-8ef7-3daae86b271f"
  },
  "agent": {
    "ephemeral_id": "a028f6cc-2dcd-4bfa-920f-51ffd5ea11f2",
    "hostname": "MHKANG",
    "id": "cbe19d7c-087f-43a1-b3bb-15d9b6247560",
    "version": "7.5.2",
    "type": "winlogbeat"
  },
  "ecs": {
    "version": "1.1.0"
  }
}

event_id를 지정해봤다.


안 됨. 그냥 다 가져온다.
PS D:\ELK\winlogbeat-7.5.2-windows-x86_64> .\winlogbeat.exe 
{
  "@timestamp": "2019-12-20T13:31:00.256Z",
  "@metadata": {
    "beat": "winlogbeat",
    "type": "_doc",
    "version": "7.5.2"
  },
  "winlog": {
    "event_id": 4624
  },
  "host": {
    "hostname": "MHKANG",
    "architecture": "x86_64",
    "os": {
      "family": "windows",
      "name": "Windows 10 Pro",
      "kernel": "10.0.18362.592 (WinBuild.160101.0800)",
      "build": "18363.592",
      "platform": "windows",
      "version": "10.0"
    },
    "id": "c5aa717c-27fb-4d38-8ef7-3daae86b271f",
    "name": "MHKANG"
  },
  "agent": {
    "ephemeral_id": "a028f6cc-2dcd-4bfa-920f-51ffd5ea11f2",
    "hostname": "MHKANG",
    "id": "cbe19d7c-087f-43a1-b3bb-15d9b6247560",
    "version": "7.5.2",
    "type": "winlogbeat"
  },
  "ecs": {
    "version": "1.1.0"
  }
}
{
  "@timestamp": "2019-12-20T13:31:00.297Z",
  "@metadata": {
    "beat": "winlogbeat",
    "type": "_doc",
    "version": "7.5.2"
  },
  "winlog": {
    "event_id": 4625
  },
  "host": {
    "name": "MHKANG",
    "hostname": "MHKANG",
    "architecture": "x86_64",
    "os": {
      "family": "windows",
      "name": "Windows 10 Pro",
      "kernel": "10.0.18362.592 (WinBuild.160101.0800)",
      "build": "18363.592",
      "platform": "windows",
      "version": "10.0"
    },
    "id": "c5aa717c-27fb-4d38-8ef7-3daae86b271f"
  },
  "agent": {
    "ephemeral_id": "a028f6cc-2dcd-4bfa-920f-51ffd5ea11f2",
    "hostname": "MHKANG",
    "id": "cbe19d7c-087f-43a1-b3bb-15d9b6247560",
    "version": "7.5.2",
    "type": "winlogbeat"
  },
  "ecs": {
    "version": "1.1.0"
  }
}

별도 저장 파일 대신 실시간 기록 중인 이벤트 로그를 지정해봤다.


지정된 event_id만 잘 가져온다.
PS D:\ELK\winlogbeat-7.5.2-windows-x86_64> .\winlogbeat.exe
{
  "@timestamp": "2020-01-12T08:06:00.877Z",
  "@metadata": {
    "beat": "winlogbeat",
    "type": "_doc",
    "version": "7.5.2"
  },
  "winlog": {
    "event_id": 4625
  },
  "host": {
    "name": "MHKANG",
    "hostname": "MHKANG",
    "architecture": "x86_64",
    "os": {
      "platform": "windows",
      "version": "10.0",
      "family": "windows",
      "name": "Windows 10 Pro",
      "kernel": "10.0.18362.592 (WinBuild.160101.0800)",
      "build": "18363.592"
    },
    "id": "c5aa717c-27fb-4d38-8ef7-3daae86b271f"
  },
  "agent": {
    "ephemeral_id": "4c2a0f7a-f25c-47f5-a7dc-f997e86ac664",
    "hostname": "MHKANG",
    "id": "cbe19d7c-087f-43a1-b3bb-15d9b6247560",
    "version": "7.5.2",
    "type": "winlogbeat"
  },
  "ecs": {
    "version": "1.1.0"
  }
}
{
  "@timestamp": "2020-01-21T12:10:11.508Z",
  "@metadata": {
    "beat": "winlogbeat",
    "type": "_doc",
    "version": "7.5.2"
  },
  "winlog": {
    "event_id": 4625
  },
  "host": {
    "name": "MHKANG",
    "hostname": "MHKANG",
    "architecture": "x86_64",
    "os": {
      "kernel": "10.0.18362.592 (WinBuild.160101.0800)",
      "build": "18363.592",
      "platform": "windows",
      "version": "10.0",
      "family": "windows",
      "name": "Windows 10 Pro"
    },
    "id": "c5aa717c-27fb-4d38-8ef7-3daae86b271f"
  },
  "agent": {
    "hostname": "MHKANG",
    "id": "cbe19d7c-087f-43a1-b3bb-15d9b6247560",
    "version": "7.5.2",
    "type": "winlogbeat",
    "ephemeral_id": "4c2a0f7a-f25c-47f5-a7dc-f997e86ac664"
  },
  "ecs": {
    "version": "1.1.0"
  }
}

파일 연동, 아직 불완전.

20.05.23
7.7 버전도 안 됨.

20.06.30
7.8 버전도 안 됨.

20.12.03
7.10 버전에서는 된다. 그런데 버전 문제가 아니고 processors 옵션의 위치가 문제였네?

관련 글
작성자: 시간:
라벨:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)

크리에이티브 커먼즈 라이선스

크리에이티브 커먼즈 라이선스
이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 4.0 국제 라이선스에 따라 이용할 수 있습니다.