본문 바로가기
인프라

sysmon winlogbeat elk 연동하기

by IT맥구리나스 2022. 4. 14.

윈도우의 로그를 sysmon과 winlogbeat 프로그램을 이용하여 elk로 전송하기 위한 설치 가이드

 

📗 winlogbeat 설정 및 설치

아래 링크 다운로드 압축 풀기

https://www.elastic.co/kr/downloads/beats/winlogbeat

winlogbeat 파일 압축해제 후 폴더 속 winlogbeat.yml 설정 변경(싹 지우고 아래 내용 저장)

winlogbeat.event_logs:
  - name: Microsoft-Windows-Sysmon/Operational

output.logstash:
  # The Logstash hosts
  hosts: ["192.168.171.129:5044"]

 

파워쉘(관리자 권한)에서 압축해제 폴더로 이동 후 아래 명령어 입력

.\winlogbeat.exe -c .\winlogbeat.yml

 

 

📗 sysmon 설정 및 설치

아래링크 다운로드 압축 풀기

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

 

아래 xml파일링크 타고 파일 마우스 우클릭 > 다른 이름으로 저장으로 압축 해제한 폴더에 저장한다.

https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml

 

파워쉘(관리자 권한 실행) 후 압축해제 폴더로 이동 후 아래 코드 입력

.\Sysmon.exe -i .\sysmonconfig-export.xml

 

winlogbeat 서비스 등록하기

winlogbeat폴더로 이동 후 아래 코드 입력으로 서비스 설치하면 아래와 같은 결과가 뜬다.

.\install-service-winlogbeat.ps1
Start-Service winlogbeat
Get-Service winlogbeat

 

관리자 권한으로 파워쉘을 실행했는데 처음 인스톨 파일 실행할 때 아래와 같은 에러가 뜨면 다음 명령어를 친다.

Set-ExecutionPolicy RemoteSigned

 

PS C:\Users\seo\Downloads\winlogbeat-8.1.2-windows-x86_64\winlogbeat-8.1.2-windows-x86_64> .\install-service-winlogbeat.ps1
.\install-service-winlogbeat.ps1 : 이 시스템에서 스크립트를 실행할 수 없으므로 C:\Users\seo\Downloads\winlogbeat-8.1.2-windows-x86_64\winlogbeat-8.1.2-windows-x86_64\i
nstall-service-winlogbeat.ps1 파일을 로드할 수 없습니다. 자세한 내용은 about_Execution_Policies(https://go.microsoft.com/fwlink/?LinkID=135170)를 참조하십시오.
위치 줄:1 문자:1
+ .\install-service-winlogbeat.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : 보안 오류: (:) [], PSSecurityException
    + FullyQualifiedErrorId : UnauthorizedAccess
PS C:\Users\seo\Downloads\winlogbeat-8.1.2-windows-x86_64\winlogbeat-8.1.2-windows-x86_64> .\install-service-winlogbeat.ps1
.\install-service-winlogbeat.ps1 : 이 시스템에서 스크립트를 실행할 수 없으므로 C:\Users\seo\Downloads\winlogbeat-8.1.2-windows-x86_64\winlogbeat-8.1.2-windows-x86_64\i
nstall-service-winlogbeat.ps1 파일을 로드할 수 없습니다. 자세한 내용은 about_Execution_Policies(https://go.microsoft.com/fwlink/?LinkID=135170)를 참조하십시오.
위치 줄:1 문자:1
+ .\install-service-winlogbeat.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : 보안 오류: (:) [], PSSecurityException
    + FullyQualifiedErrorId : UnauthorizedAccess

 

반응형
저작자표시 비영리

'인프라' 카테고리의 다른 글

mysql replication (리플리케이션) 설정  (0) 2022.04.16
Failing package is: mysql-community-libs-compat-5.7.37-1.el7.x86_64  (0) 2022.04.15
mysql ERROR 1418 (HY000) at line 12460 에러 처리방법  (0) 2022.03.23
[LINUX] 시간 동기화 명령어에 따른 port 통신  (0) 2022.03.22
ubuntu securecrt ssh 로그인 접속 실패  (0) 2022.03.06

관련글

댓글

티스토리툴바