Shromažďování z Beats nebo Logstash¶
Konfigurace TeskaLabs LogMan.io¶
Základní konfigurační úryvek sběrače:
input:Lumberjack:logstash:
output: ...
logstash
je identifikovaný vstup a může být nahrazen čímkoli jedinečným v konfiguračním souboru.
address
specifikuje síťové rozhraní a/nebo port, který bude použit pro naslouchání.
Výchozí hodnota je '5044', pro naslouchání na tcp/5044
.
Volitelný atribut smart
může být použit k určení chytré mapy, když je připojen k output:CommLink
.
Tip
Protokol používaný pro tuto extrakci se nazývá Lumberjack a ve výchozím nastavení běží na tcp/5044
s volitelným SSL.
Třídy zdrojů logů input:Lumberjack:
, input:Logstash:
a input:Beats:
jsou ve skutečnosti synonyma.
Konfigurace SSL¶
Příchozí SSL je detekováno automaticky.
Následující konfigurační možnosti specifikují SSL připojení:
cert
: Cesta k SSL certifikátu klientakey
: Cesta k soukromému klíči SSL certifikátu klientapassword
: Heslo k souboru soukromého klíče (volitelné, výchozí: žádné)cafile
: Cesta k PEM souboru s certifikátem(y) CA pro ověření SSL serveru (volitelné, výchozí: žádné)capath
: Cesta k adresáři s certifikátem(y) CA pro ověření SSL serveru (volitelné, výchozí: žádné)cadata
: jeden nebo více PEM-encoded certifikátů CA pro ověření SSL serveru (volitelné, výchozí: žádné)ciphers
: SSL šifry (volitelné, výchozí: žádné)dh_params
: Parametry výměny klíčů Diffie–Hellman (D-H) (TLS) (volitelné, výchozí: žádné)verify_mode
: Jeden z CERT_NONE, CERT_OPTIONAL nebo CERT_REQUIRED (volitelné); pro více informací viz: github.com/TeskaLabs/asab
Konfigurace Beats¶
Tento zdroj logů může být použit k shromažďování logů pomocí rodiny nástrojů Beats. Beats jsou lehké datové přepravce od Elastic.
Podporované Beats:
Konfigurační úryvek:
output.logstash:
hosts: ["<collector>:5044"]
Příklad konfigurace winlogbeat¶
winlogbeat.yaml
:
output.logstash:
hosts: ["<collector>:5044"]
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: System
ignore_older: 72h
- name: Security
ignore_older: 72h
- name: Setup
ignore_older: 72h
- name: Microsoft-Windows-Sysmon/Operational
ignore_older: 72h
- name: Microsoft-Windows-Windows Defender/Operational
ignore_older: 72h
- name: Microsoft-Windows-GroupPolicy/Operational
ignore_older: 72h
- name: Microsoft-Windows-TaskScheduler/Operational
ignore_older: 72h
- name: Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
ignore_older: 72h
- name: Windows PowerShell
event_id: 400, 403, 600, 800
ignore_older: 72h
- name: Microsoft-Windows-PowerShell/Operational
event_id: 4103, 4104, 4105, 4106
ignore_older: 72h
- name: ForwardedEvents
tags: [forwarded]
logging.to_files: true
logging.files:
rotateeverybytes: 10485760 # = 10MB
Příklad konfigurace filebeat¶
filebeat.yaml
:
output.logstash:
hosts: ["<collector>:5044"]
filebeat.inputs:
- type: filestream
fields:
stream: <stream name>
paths:
- /path/to/the/file.log