ansible-role-winlogbeat

Роль Ansible, которая устанавливает winlogbeat для мониторинга логов Windows.

Поддерживаемые платформы:

• Windows 10
• Windows Server 2019
• Windows Server 2016

Требования

Нет

Переменные роли

Переменные Ansible из файла defaults/main.yml

winlogbeat_event_logs:
  channels:
    - name: Application
      ignore_older: "72h"
    - name: System
      ignore_older: "72h"
  security: true
  sysmon: false
  powershell: true
  wef: false

winlogbeat_output:
  type: "elasticsearch"
  elasticsearch:
    hosts:
      - "localhost:9200"
    security:
      enabled: false

winlogbeat_processors: |
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~

winlogbeat_service:
  install_path_64: "C:\\Program Files\\Elastic\\winlogbeat"
  install_path_32: "C:\\Program Files (x86)\\Elastic\\winlogbeat"
  version: "7.9.1"
  download: true

Параметр winlogbeat_service.download указывает, нужно ли загружать установочный zip-файл с https://artifacts.elastic.co/ или копировать его с сервера Ansible. Если ваши серверы не имеют доступа к Интернету, скачайте установочный zip-файл и поместите его в папку .files/. Не изменяйте имя zip-файла.

Внимание убедитесь, что пути install_path_64 и install_path_32 заканчиваются на \winlogbeat; последний шаг, который выполняет очистку, удаляет все, что не содержит номер текущей версии winlogbeat!

Зависимости

Нет.

Пример плейбука

Пример плейбука с измененной целью установки, добавленным сбором логов Windows Defender, удаленными шумными событиями из логов безопасности с помощью процессоров и настроенным выходом в Redis.

- name: Установить winlogbeat на рабочие станции
  hosts:
    - workstations
  vars:
    winlogbeat_service:
       install_path_64: "C:\\Program Files\\monitoring\\winlogbeat"
       install_path_32: "C:\\Program Files (x86)\\monitoring\\winlogbeat"
       version: "7.9.1"
       download: false
    winlogbeat_event_logs:
      channels:
        - name: Application
          ignore_older: "72h"
        - name: System
          ignore_older: "72h"
        - name: Microsoft-Windows-Windows Defender/Operational
          ignore_older: "72h"
      security: true
      security_processors: |
          - drop_event.when.or:
        - equals.winlog.event_id: 4656 # Запрос на доступ к объекту.
        - equals.winlog.event_id: 4658 # Доступ к объекту закрыт.
        - equals.winlog.event_id: 4659 # Запрос на доступ к объекту с правом удаления.
        - equals.winlog.event_id: 4660 # Объект был удален.
        - equals.winlog.event_id: 4663 # Попытка доступа к объекту.
        - equals.winlog.event_id: 4664 # Попытка создания жесткой ссылки.
        - equals.winlog.event_id: 4691 # Запрос на косвенный доступ к объекту.
      powershell: true
      sysmon: true
      wef: false
    winlogbeat_template:
      enabled: false
    winlogbeat_general:
      tags:
        - "workstation"
        - "winlogbeat"
    winlogbeat_output:
      type: "redis"
      redis:
        hosts:
          - "192.168.24.33:6379"
        password: "мой_очень_длинный_пароль_redis_потому_что_redis_быстрый"
        key: "winlogbeat-workstation"

Лицензия

MIT

Информация о авторе

j91321

Примечания

Роль содержит шаблон, который может использоваться с winlogbeat 6 в ./templates/winlogbeat6.yml.j2. Чтобы использовать этот шаблон, замените winlogbeat.yml.j2 или измените задачи.