OpenSource/Graylog

Windows Event log를 Graylog로 수집 (Winlogbeat)

난쓰넌말 2025. 4. 22. 16:23

 

윈도우 서버 이벤트 로그를 Graylog 서버로 수집하려면 Winlogbeat이나 NXLog를 사용하는 것이 일반적입니다.
다음은 Winlogbeat를 사용하는 방식을 설명합니다.

방화벽 설정

새로운 포트(5044)를 사용하기 때문에 서버에서 다음과 같이 열어준다.
환경에 따라 Network방화벽 작업도 필요하다

[root@graylog yum.repos.d]# sudo firewall-cmd --add-port=5044/tcp --permanen
[root@graylog yum.repos.d]# sudo firewall-cmd --reload

Graylog 서버에서 Input준비

  1. Graylog 웹 UI접속
  2. System -> Inputs 메뉴 이동
  3. Beats 타입 input 생성
    • "Launch new input"에서 Beats(보통 TCP 5044 포트, 필요시 5004 등) 선택
    • 입력 포트, 이름 등 설정 후 실행
  4. (선택) Windows 이벤트 로그용 별도 인덱스/스트림 생성

Winlogbeat 설치 및 설정

내가 설치한 graylog 서버는 TSL/SSL 설정이 되어 있지 않기 때문에 ssl 설정 false 필요
false 하지 않으면 아래 설정 test에서 graylog 서버와 통신 오류 발생함

  1. 다운로드
  2. 압축 해제 후 아래 위치로 이동 (편한대로)
    • C:\Program Files\winlogbeat-9.0.0
  3. winlogbeat.yml 설정 파일 수정
    • 이벤트 로그중에서 모니터링 하려는 목록을 추가/삭제
winlogbeat.event_logs:  
  - name: Application
    ignore_older: 72h
  - name: System
  - name: Security
  - name: Microsoft-Windows-Sysmon/Operational
  - name: Windows PowerShell
    event_id: 400, 403, 600, 800
  - name: Microsoft-Windows-PowerShell/Operational
    event_id: 4103, 4104, 4105, 4106
  - name: ForwardedEvents
    tags: [forwarded]
#output.elasticsearch:                    <불필요 것 주석 처리>
  # Array of hosts to connect to.         <불필요 것 주석 처리>
#  hosts: ["localhost:9200"]              <불필요 것 주석 처리>
output.logstash:
  # The Logstash hosts
  hosts: ["graylog1.iwyr:5044"]
  ssl.enabled: false
  1. 설정 테스트
  • 성공
C:\\Program Files\\winlogbeat-9.0.0>winlogbeat.exe test config
Config OK
C:\\Program Files\\winlogbeat-9.0.0>winlogbeat.exe test output  
logstash: graylog1.iwyr:5044...  
  connection...  
    parse host... OK  
    dns lookup... OK  
    addresses: 10.7.8.100  
    dial up... OK  
  TLS... WARN secure connection disabled  
  talk to server... OK  

C:\\Program Files\\winlogbeat-9.0.0>
  • 실패 (SSL 문제)
C:\\Program Files\\winlogbeat-9.0.0>winlogbeat.exe test output  
elasticsearch: [http://graylog1.iwyr:5044...](http://graylog1.iwyr:5044...)  
  parse url... OK  
  connection...  
    parse host... OK  
    dns lookup... OK  
    addresses: 10.7.8.100  
    dial up... OK  
  TLS... WARN secure connection disabled  
  talk to server... ERROR Get "[http://graylog1.iwyr:5044](http://graylog1.iwyr:5044)": EOF

  C:\\Program Files\\winlogbeat-9.0.0>
  1. 서비스 설치 및 기동
PS C:\Program Files\winlogbeat-9.0.0> .\install-service-winlogbeat.ps1

Status   Name               DisplayName
------   ----               -----------
Stopped  winlogbeat         winlogbeat


PS C:\Program Files\winlogbeat-9.0.0>

서비스로 이동해서 시작

확인

저작자표시 비영리 변경금지 (새창열림)