Vous rencontrez des difficultés pour importer les journaux Windows, notamment les événements Active Directory, dans Graylog ? C’est un problème courant. L’objectif est de mettre en place un système fluide permettant à vos hôtes Windows, y compris les contrôleurs de domaine, d’envoyer directement leurs journaux d’événements vers Graylog. Ainsi, la recherche d’incidents de sécurité et le dépannage sont grandement simplifiés, évitant ainsi de devoir analyser manuellement chaque machine. Ce guide vous explique comment envoyer les journaux avec Winlogbeat, configurer correctement le système et centraliser vos journaux. Vous bénéficierez ainsi d’informations en temps réel et de recherches rapides, au lieu d’un fouillis de journaux éparpillés.
- Configuration de Winlogbeat sur les hôtes Windows
- Filtrage des journaux et personnalisation de Winlogbeat
- Surveillance des événements Active Directory dans Graylog
- Stockage et analyse centralisés des journaux
Comment configurer Winlogbeat pour envoyer les journaux d’événements Windows à Graylog
Installer et préparer Winlogbeat
Voici l’étape principale. Winlogbeat est un agent léger qui s’exécute sur chaque machine Windows (serveurs, ordinateurs de bureau ou contrôleurs de domaine) et transmet les données de journalisation. Windows a tendance à compliquer un peu les choses, mais c’est faisable. Commencez par télécharger la dernière version de Winlogbeat depuis la page de téléchargement d’Elastic. Sur votre hôte Windows, extrayez-la dans un répertoire comme [chemin d’accès] C:\Program Files\winlogbeat. Il s’agit d’un simple fichier ZIP : décompressez-le simplement, sans installation.
Modifier le fichier de configuration
La magie opère vraiment dans winlogbeat.yml. Ouvrez-le avec Notepad++ ou tout autre éditeur de texte de votre choix. La configuration par défaut est minimale, ce qui est idéal pour débuter, mais vous devrez la configurer pour qu’elle pointe vers votre serveur Graylog. Voici pourquoi : Winlogbeat enverra les journaux via Logstash ou directement à Graylog, qui doit écouter sur le port TCP 5044 (ou tout autre port configuré dans Graylog).Attention à la syntaxe YAML : les espaces sont essentiels et l’indentation est importante. Une configuration typique pour les journaux Windows de base ressemble à ceci :
winlogbeat.event_logs: - name: Application ignore_older: 72h - name: Security - name: System output.logstash: hosts: ["192.168.14.146:5044"]
Remplacez 192.168.14.146par l’adresse IP ou le nom d’hôte de votre serveur Graylog. Vous souhaitez ne collecter que certains événements ? Ajoutez des filtres : par exemple, collectez uniquement les événements de sécurité avec certains identifiants ou niveaux de gravité. C’est là que la personnalisation de votre fichier winlogbeat.yml intervient : activez des filtres comme les identifiants d’événement 4624 (connexions) ou 4740 (verrouillages de compte).Consultez les exemples sur Hochwald.net pour des configurations plus complexes si nécessaire.
Valider la configuration et démarrer Winlogbeat
Exécutez ces commandes dans PowerShell ou l’invite de commandes à l’intérieur deC:\Program Files\winlogbeat :
.\winlogbeat test config .\winlogbeat test output
Cela confirme que votre configuration est correcte et que la connexion à Graylog fonctionne. Si tout est au vert, installez le service avec ce script :
.\install-service-winlogbeat.ps1 Start-Service winlogbeat
Sur l’interface web de Graylog, vérifiez le flux correspondant : les journaux devraient commencer à s’afficher en quelques minutes. La première fois, il peut arriver qu’il y ait un léger décalage, le temps que Windows et les paramètres réseau se synchronisent. Après un redémarrage ou un rechargement rapide, les journaux devraient apparaître. Sur certaines configurations, l’affichage des journaux peut prendre un peu plus de temps, notamment si le pare-feu de l’agent n’est pas correctement configuré.
Assurez-vous que les bûches passent bien.
Accédez à l’interface web de Graylog, trouvez votre flux (ou créez-en un dédié aux journaux Windows) et filtrez-le pour afficher des ID d’événements récents, comme 4624 ou 4767. Si des journaux apparaissent, félicitations : votre configuration fonctionne. Sinon, vérifiez les règles du pare-feu, l’accessibilité des ports et assurez-vous que Winlogbeat fonctionne correctement et ne génère pas d’erreurs dans ses journaux ( Get-WinEvent -LogName "Application"pour un dépannage manuel si nécessaire).
Optimisation de Winlogbeat pour affiner vos journaux
Tous les journaux ne sont pas utiles, et filtrer les informations superflues est bénéfique. Vous pouvez configurer Winlogbeat pour qu’il ne collecte que certains identifiants d’événements, comme ceux liés à la sécurité (échecs de connexion, verrouillages de comptes, changements de groupe).Les exemples montrent comment spécifier les identifiants et les niveaux d’événements. Par exemple, pour ne collecter que les événements de sécurité critiques, modifiez votre configuration :
winlogbeat.event_logs: - name: Security event_id: 4624, 4740, 4720, 4726 level: critical, error ignore_older: 24h
Cela permet de garder votre boîte de réception Graylog gérable, au lieu d’être submergée par des journaux inutiles. L’application de tels filtres peut considérablement accélérer vos recherches et réduire vos besoins de stockage. Attention toutefois : un filtrage trop strict pourrait vous faire manquer des alertes importantes.
Comment rechercher et analyser les événements Active Directory et des contrôleurs de domaine
La véritable puissance des journaux centralisés se révèle lorsque vous recherchez des événements spécifiques dans Graylog. Par exemple, si vous souhaitez savoir qui a verrouillé un compte utilisateur (ID d’événement 4740), il vous suffit de créer une requête comme celle-ci :
winlogbeat_event_code:(4740 OR 4625) AND winlogbeat_event_provider:Microsoft-Windows-Security-Auditing
Sur de nombreuses configurations, cet outil fournit des résultats en quelques secondes, indiquant la machine d’origine de l’événement, l’utilisateur concerné et d’autres détails. Pratique pour les équipes de sécurité ou pour résoudre les problèmes de verrouillage de compte. Voici un aide-mémoire pour les autres événements Active Directory courants :
- 4767 — Qui a déverrouillé un compte ?
- 4724 — Qui a réinitialisé le mot de passe de quelqu’un ?
- 4720/4722/4725 — créé/activé/désactivé par l’utilisateur ?
- 4727/4728/4729/4730 — modifications de l’appartenance au groupe.
- 5137/5136/5141 — GPO créés ou modifiés.
- 4624 — connexions réussies, utiles pour les pistes d’audit.
Assurez-vous que vos contrôleurs de domaine envoient ces journaux en configurant la stratégie de contrôleur de domaine par défaut dans la Gestion des stratégies de groupe. Activez les stratégies d’audit pertinentes, notamment pour les événements de sécurité. Une fois la configuration terminée, vous pouvez créer des recherches enregistrées et des tableaux de bord dans Graylog pour surveiller les activités suspectes ou les problèmes de conformité. Des alertes peuvent vous avertir, par exemple, en cas de trop nombreuses tentatives de connexion infructueuses ou de modifications importantes.
Centralisation de la journalisation des événements pour une sécurité et un dépannage améliorés
Graylog centralise vos journaux d’événements Windows. Qu’il s’agisse de surveiller les connexions RDP, de suivre les accès aux fichiers ou de détecter les modifications de journaux induites par des logiciels malveillants, la centralisation des journaux change la donne. Vous gagnez ainsi un temps précieux en évitant de jongler entre différentes machines. Toutes les informations sont accessibles depuis un tableau de bord unique. De plus, la possibilité de définir des règles d’alerte et de générer des rapports simplifie considérablement la conformité et la gestion des incidents.
Ainsi, si votre environnement exige un contrôle strict des journaux Windows et Active Directory, la configuration du transfert Winlogbeat vers Graylog est relativement simple et offre des avantages considérables. Une fois la configuration terminée, vos journaux sont plus propres, les recherches plus rapides et la détection des incidents simplifiée. La solution ne résoudra peut-être pas tous les problèmes instantanément, mais c’est un progrès significatif, notamment en présence de plusieurs contrôleurs de domaine ou d’un réseau étendu.