ansible-role-winlogbeat

Eine Ansible-Rolle, die winlogbeat für die Überwachung von Windows-Protokollen installiert.

Unterstützte Plattformen:

• Windows 10
• Windows Server 2019
• Windows Server 2016

Anforderungen

Keine

Rollenvariablen

Ansible-Variablen aus defaults/main.yml

winlogbeat_event_logs:
  channels:
    - name: Anwendung
      ignore_older: "72h"
    - name: System
      ignore_older: "72h"
  security: true
  sysmon: false
  powershell: true
  wef: false

winlogbeat_output:
  type: "elasticsearch"
  elasticsearch:
    hosts:
      - "localhost:9200"
    security:
      enabled: false

winlogbeat_processors: |
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~

winlogbeat_service:
  install_path_64: "C:\\Programme\\Elastic\\winlogbeat"
  install_path_32: "C:\\Programme (x86)\\Elastic\\winlogbeat"
  version: "7.9.1"
  download: true

Die winlogbeat_service.download spezifiziert, ob die Installations-Zip von https://artifacts.elastic.co/ heruntergeladen oder vom Ansible-Server kopiert werden soll. Wenn Ihre Server keinen Internetzugang haben, laden Sie die Installations-Zip-Datei herunter und legen Sie sie in den .files/-Ordner. Ändern Sie den Namen der Zip-Datei nicht.

Vorsicht stellen Sie sicher, dass install_path_64 und install_path_32 mit \winlogbeat enden. Die letzte Aufgabe, die die Bereinigung durchführt, entfernt alles andere aus dem Installationspfad, das nicht die aktuelle winlogbeat-Version enthält!

Abhängigkeiten

Keine.

Beispiel-Playbook

Beispiel-Playbook mit geändertem Installationsziel, hinzugefügter Windows Defender-Protokollsammlung, entfernten störenden Ereignissen aus Sicherheitsprotokollen mit Prozessoren und konfiguriertem Redis-Ausgang.

- name: Winlogbeat auf Arbeitsstationen installieren
  hosts:
    - arbeitsstationen
  vars:
    winlogbeat_service:
       install_path_64: "C:\\Programme\\überwachung\\winlogbeat"
       install_path_32: "C:\\Programme (x86)\\überwachung\\winlogbeat"
       version: "7.9.1"
       download: false
    winlogbeat_event_logs:
      channels:
        - name: Anwendung
          ignore_older: "72h"
        - name: System
          ignore_older: "72h"
        - name: Microsoft-Windows-Windows Defender/Operational
          ignore_older: "72h"
      security: true
      security_processors: |
          - drop_event.when.or:
        - equals.winlog.event_id: 4656 # Ein Handle zu einem Objekt wurde angefordert.
        - equals.winlog.event_id: 4658 # Das Handle zu einem Objekt wurde geschlossen.
        - equals.winlog.event_id: 4659 # Ein Handle zu einem Objekt wurde mit der Absicht zu löschen angefordert.
        - equals.winlog.event_id: 4660 # Ein Objekt wurde gelöscht.
        - equals.winlog.event_id: 4663 # Es wurde versucht, auf ein Objekt zuzugreifen.
        - equals.winlog.event_id: 4664 # Es wurde versucht, einen Hardlink zu erstellen.
        - equals.winlog.event_id: 4691 # Indirekter Zugriff auf ein Objekt wurde angefordert.
      powershell: true
      sysmon: true
      wef: false
    winlogbeat_template:
      enabled: false
    winlogbeat_general:
      tags:
        - "arbeitsstation"
        - "winlogbeat"
    winlogbeat_output:
      type: "redis"
      redis:
        hosts:
          - "192.168.24.33:6379"
        password: "mein_sehr_langes_redis_passwort_weil_redis_schnell_ist"
        key: "winlogbeat-arbeitsstation"

Lizenz

MIT

Autoreninformation

j91321

Anmerkungen

Die Rolle enthält eine Vorlage, die mit winlogbeat 6 verwendbar ist in ./templates/winlogbeat6.yml.j2. Um diese Vorlage zu verwenden, ersetzen Sie entweder die winlogbeat.yml.j2 oder ändern Sie die Aufgaben.