Wie man Windows- und Active Directory-Ereignisprotokolle mit Graylog sammelt

Hatten Sie Probleme, Windows-Protokolle – insbesondere Active Directory-Ereignisse – in Graylog zu übertragen? Ja, das ist ein häufiges Problem. Ziel ist es, eine reibungslose Pipeline einzurichten, in der Ihre Windows-Hosts, einschließlich Domänencontroller, ihre Ereignisprotokolle direkt an Graylog senden. Dadurch wird die Suche nach Sicherheitsvorfällen und die Fehlerbehebung deutlich einfacher, anstatt jeden Rechner manuell zu durchsuchen. Diese Anleitung zeigt Ihnen, wie Sie Protokolle mit Winlogbeat senden, alles korrekt konfigurieren und Ihre Protokolle zentral verwalten. Sie erhalten Echtzeit-Einblicke und schnelle Suchvorgänge anstelle eines unübersichtlichen Durcheinanders verstreuter Protokolle.

Inhalt:

So richten Sie Winlogbeat für das Senden von Windows-Ereignisprotokollen an Graylog ein

Winlogbeat installieren und vorbereiten

Dies ist der wichtigste Schritt. Winlogbeat ist ein schlanker Agent, der auf jedem Windows-Rechner (Server, Desktop-PCs oder Domänencontroller) läuft und Protokolldaten weiterleitet. Windows macht solche Dinge natürlich etwas komplizierter als nötig, aber es ist machbar. Laden Sie zunächst die neueste Version von Winlogbeat von der Elastic-Downloadseite herunter. Entpacken Sie die Datei auf Ihrem Windows-Rechner in ein Verzeichnis wie z C:\Program Files\winlogbeat. B.[Pfad einfügen].Es handelt sich um eine einfache ZIP-Datei, die Sie einfach entpacken müssen – ein Installationsprogramm ist nicht erforderlich.

Bearbeiten Sie die Konfigurationsdatei

Die eigentliche Magie geschieht in der Datei winlogbeat.yml.Öffnen Sie sie mit Notepad++ oder einem anderen Texteditor Ihrer Wahl. Die Standardkonfiguration ist minimal, was für den Einstieg gut geeignet ist. Sie sollten sie jedoch auf Ihren Graylog-Server verweisen. Der Grund: Winlogbeat sendet Protokolle entweder über Logstash oder direkt an Graylog, das auf TCP-Port 5044 (oder dem von Ihnen in Graylog eingerichteten Port) lauschen muss. Achten Sie auf die YAML-Syntax – Leerzeichen sind unerlässlich, und die Einrückung ist wichtig. Eine typische Konfiguration für grundlegende Windows-Protokolle sieht folgendermaßen aus:

winlogbeat.event_logs: - name: Application ignore_older: 72h - name: Security - name: System output.logstash: hosts: ["192.168.14.146:5044"]

Ersetzen Sie dies 192.168.14.146durch die IP-Adresse oder den Hostnamen Ihres Graylog-Servers. Möchten Sie nur bestimmte Ereignisse erfassen? Fügen Sie Filter hinzu – beispielsweise, um nur Sicherheitsereignisse mit bestimmten IDs oder Schweregraden zu erfassen. Hier kommt die Anpassung Ihrer winlogbeat.yml- Datei ins Spiel, indem Sie Filter wie die Ereignis-IDs 4624 (Anmeldungen) oder 4740 (Kontosperrungen) aktivieren. Beispiele für komplexere Konfigurationen finden Sie bei Bedarf auf Hochwald.net.

Konfiguration überprüfen und Winlogbeat starten

Führen Sie diese Befehle in PowerShell oder der Eingabeaufforderung aus C:\Program Files\winlogbeat:

.\winlogbeat test config .\winlogbeat test output

Dies bestätigt, dass Ihre Konfiguration korrekt ist und die Verbindung zu Graylog funktioniert. Wenn alles grün ist, installieren Sie den Dienst mit diesem Skript:

.\install-service-winlogbeat.ps1 Start-Service winlogbeat

Überprüfen Sie nun in der Graylog-Weboberfläche den entsprechenden Stream – die Protokolle sollten innerhalb weniger Minuten übertragen werden. Beim ersten Mal kann es mitunter zu Problemen kommen, da Windows- und Netzwerkeinstellungen synchronisiert werden müssen. Nach einem Neustart oder einem schnellen Neuladen sollten die Protokolle jedoch verfügbar sein. Bei manchen Konfigurationen dauert es etwas länger, bis die Protokolle erscheinen, insbesondere wenn die Firewall des Agenten nicht korrekt konfiguriert ist.

Stellen Sie sicher, dass die Protokolle durchkommen.

Rufen Sie die Weboberfläche von Graylog auf, suchen Sie Ihren Stream (oder erstellen Sie einen separaten Stream für Windows-Protokolle) und filtern Sie nach aktuellen Ereignis-IDs wie 4624 oder 4767. Wenn Protokolle angezeigt werden, herzlichen Glückwunsch – Ihre Konfiguration funktioniert. Andernfalls überprüfen Sie bitte die Firewall-Regeln, die Port-Erreichbarkeit und ob Winlogbeat fehlerfrei läuft ( Get-WinEvent -LogName "Application"um gegebenenfalls manuell Fehler zu beheben).

Winlogbeat feinabstimmen, um Ihre Protokolle einzugrenzen

Nicht alle Protokolleinträge sind nützlich, daher ist das Herausfiltern irrelevanter Informationen hilfreich. Sie können Winlogbeat so konfigurieren, dass nur bestimmte Ereignis-IDs erfasst werden, beispielsweise sicherheitsrelevante Ereignisse (fehlgeschlagene Anmeldeversuche, Kontosperrungen, Gruppenänderungen).Die Beispiele zeigen, wie Ereignis-IDs und -Ebenen festgelegt werden. Um beispielsweise nur kritische Sicherheitsereignisse zu erfassen, passen Sie Ihre Konfiguration entsprechend an:

winlogbeat.event_logs: - name: Security event_id: 4624, 4740, 4720, 4726 level: critical, error ignore_older: 24h

So bleibt Ihr Graylog-Posteingang übersichtlich und wird nicht von unnützen Protokollen überflutet. Durch die Implementierung solcher Filter können Sie Ihre Suchvorgänge deutlich beschleunigen und den Speicherbedarf reduzieren. Seien Sie jedoch vorsichtig: Wenn Sie zu streng filtern, könnten Ihnen wichtige Benachrichtigungen entgehen.

So suchen und analysieren Sie Ereignisse in Active Directory und Domänencontrollern

Die wahre Stärke zentralisierter Protokolle zeigt sich, wenn Sie in Graylog nach bestimmten Ereignissen suchen. Angenommen, Sie möchten herausfinden, wer ein Benutzerkonto gesperrt hat (Ereignis-ID 4740).Erstellen Sie einfach eine Abfrage wie die folgende:

winlogbeat_event_code:(4740 OR 4625) AND winlogbeat_event_provider:Microsoft-Windows-Security-Auditing

Bei vielen Konfigurationen liefert dies innerhalb von Sekunden Ergebnisse und zeigt an, von welchem ​​Rechner das Ereignis stammt, welcher Benutzer betroffen ist und weitere Details. Nützlich für Sicherheitsexperten oder zur Behebung von Kontosperrungen. Hier ist eine kurze Übersicht über andere gängige AD-Ereignisse:

  • 4767 — Wer hat ein Konto entsperrt?
  • 4724 — Wer hat das Passwort von jemandem zurückgesetzt?
  • 4720/4722/4725 — vom Benutzer erstellt/aktiviert/deaktiviert?
  • 4727/4728/4729/4730 — Änderungen der Gruppenzugehörigkeit.
  • 5137/5136/5141 — Gruppenrichtlinienobjekte (GPOs) erstellt oder geändert.
  • 4624 — erfolgreiche Anmeldungen, nützlich für Prüfprotokolle.

Stellen Sie sicher, dass Ihre Domänencontroller diese Protokolle senden, indem Sie die Standarddomänencontrollerrichtlinie in der Gruppenrichtlinienverwaltung konfigurieren. Aktivieren Sie relevante Überwachungsrichtlinien, insbesondere für Sicherheitsereignisse. Nach der Konfiguration können Sie in Graylog gespeicherte Suchvorgänge und Dashboards erstellen, um verdächtige Aktivitäten oder Compliance-Probleme im Blick zu behalten. Warnmeldungen können Sie beispielsweise benachrichtigen, wenn zu viele Anmeldeversuche fehlschlagen oder wichtige Änderungen vorgenommen werden.

Zentralisierung der Ereignisprotokollierung für bessere Sicherheit und Fehlerbehebung

Graylog macht Ihre Windows-Ereignisprotokolle zu einer zentralen Datenquelle. Ob Überwachung von RDP-Verbindungen, Nachverfolgung von Dateizugriffen oder Erkennung von durch Malware verursachten Protokolländerungen – die zentrale Protokollierung ist ein echter Gamechanger. So sparen Sie sich das lästige Wechseln zwischen verschiedenen Rechnern. Stattdessen haben Sie alles über ein einziges Dashboard im Blick. Die Möglichkeit, Alarmregeln festzulegen und Berichte zu generieren, vereinfacht zudem Compliance und Incident Response erheblich.

Wenn Ihre Umgebung also eine strenge Kontrolle über Windows- und AD-Protokolle erfordert, ist die Einrichtung der Winlogbeat-Weiterleitung an Graylog zwar nicht allzu kompliziert, bietet aber enorme Vorteile. Nach der Installation sind Ihre Protokolle übersichtlicher, die Suche schneller und die Erkennung von Sicherheitsvorfällen einfacher. Es löst zwar nicht sofort alle Probleme, ist aber ein wichtiger Schritt nach vorn – insbesondere bei mehreren Domänencontrollern oder einem weitläufigen Netzwerk.