j91321.winlogbeat

概要 バージョン 洞察

ansible-role-winlogbeat

GitHubライセンス GitHub最終更新 ビルド Twitter

Windowsログ監視用にwinlogbeatをインストールするAnsibleロールです。

サポートされているプラットフォーム:

  • Windows 10
  • Windows Server 2019
  • Windows Server 2016

要件

なし

ロール変数

defaults/main.ymlからのAnsible変数

winlogbeat_event_logs:
  channels:
    - name: Application
      ignore_older: "72h"
    - name: System
      ignore_older: "72h"
  security: true
  sysmon: false
  powershell: true
  wef: false

winlogbeat_output:
  type: "elasticsearch"
  elasticsearch:
    hosts:
      - "localhost:9200"
    security:
      enabled: false

winlogbeat_processors: |
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~

winlogbeat_service:
  install_path_64: "C:\\Program Files\\Elastic\\winlogbeat"
  install_path_32: "C:\\Program Files (x86)\\Elastic\\winlogbeat"
  version: "7.9.1"
  download: true

winlogbeat_service.downloadは、インストールZIPをhttps://artifacts.elastic.co/からダウンロードするか、Ansibleサーバーからコピーするかを指定します。 サーバーがインターネットにアクセスできない場合は、インストールZIPファイルをダウンロードして、**.files/**フォルダに配置してください。ZIPファイル名は変更しないでください。

注意 インストールパスが\winlogbeatで終わることを確認してください。クリーンアップを行う最後のタスクが、現在のwinlogbeatバージョン番号を含まないインストールパス内の他のすべてを削除します!

依存関係

なし。

例プレイブック

インストール先を変更し、Windows Defenderのログを収集を追加し、プロセッサを使用してセキュリティログから不要なイベントを削除し、Redis出力を設定する例のプレイブックです。

- name: ワークステーションにwinlogbeatをインストール
  hosts:
    - workstations
  vars:
    winlogbeat_service:
       install_path_64: "C:\\Program Files\\monitoring\\winlogbeat"
       install_path_32: "C:\\Program Files (x86)\\monitoring\\winlogbeat"
       version: "7.9.1"
       download: false
    winlogbeat_event_logs:
      channels:
        - name: Application
          ignore_older: "72h"
        - name: System
          ignore_older: "72h"
        - name: Microsoft-Windows-Windows Defender/Operational
          ignore_older: "72h"
      security: true
      security_processors: |
          - drop_event.when.or:
        - equals.winlog.event_id: 4656 # オブジェクトへのハンドルがリクエストされました。
        - equals.winlog.event_id: 4658 # オブジェクトへのハンドルが閉じられました。
        - equals.winlog.event_id: 4659 # 削除の意図でオブジェクトへのハンドルがリクエストされました。
        - equals.winlog.event_id: 4660 # オブジェクトが削除されました。
        - equals.winlog.event_id: 4663 # オブジェクトへのアクセスの試みがありました。
        - equals.winlog.event_id: 4664 # ハードリンクの作成の試みがありました。
        - equals.winlog.event_id: 4691 # オブジェクトへの間接アクセスがリクエストされました。
      powershell: true
      sysmon: true
      wef: false
    winlogbeat_template:
      enabled: false
    winlogbeat_general:
      tags:
        - "workstation"
        - "winlogbeat"
    winlogbeat_output:
      type: "redis"
      redis:
        hosts:
          - "192.168.24.33:6379"
        password: "私のとても長いredisパスワード"
        key: "winlogbeat-workstation"

ライセンス

MIT

著者情報

j91321

注意事項

ロールには、*./templates/winlogbeat6.yml.j2*で使用できるwinlogbeat 6用のテンプレートが含まれています。このテンプレートを使用するには、winlogbeat.yml.j2を置き換えるか、タスクを修正してください。

プロジェクトについて

Install Winlogbeat for Windows event log monitoring.

role elastic logging monitoring security windows
インストール
ansible-galaxy install j91321.winlogbeat
GitHub リポジトリ
2 スター
2 フォーク
0 オープンな問題
ライセンス
mit
ダウンロード
4k
所有者