Hoe Windows- en Active Directory-gebeurtenislogboeken te verzamelen met Graylog

Heeft u problemen ondervonden met het importeren van Windows-logboeken, met name Active Directory-gebeurtenissen, in Graylog? Dat is een veelvoorkomend probleem. Het doel is om een ​​soepele workflow op te zetten waarbij uw Windows-hosts, inclusief domeincontrollers, hun gebeurtenislogboeken rechtstreeks naar Graylog sturen. Zo wordt het zoeken naar beveiligingsincidenten of het oplossen van problemen veel eenvoudiger, in plaats van handmatig elke machine te moeten doorzoeken. Deze instructies beschrijven hoe u logboeken met Winlogbeat kunt verzenden, hoe u ervoor zorgt dat alles correct is geconfigureerd en hoe u uw logboeken centraal kunt bewaren. U krijgt realtime inzicht en kunt snel zoeken in plaats van een enorme hoeveelheid verspreide logboeken.

Inhoud:

Hoe configureert u Winlogbeat voor het verzenden van Windows-gebeurtenislogboeken naar Graylog?

Winlogbeat installeren en voorbereiden

Dit is de belangrijkste stap. Winlogbeat is de lichtgewicht agent die op elke Windows-machine draait (werkt op servers, desktops of domeincontrollers) en loggegevens doorstuurt. Windows maakt dit soort dingen natuurlijk iets ingewikkelder dan nodig, maar het is wel mogelijk. Download eerst de nieuwste versie van Winlogbeat van de Elastic-downloadpagina. Pak het bestand op uw Windows-host uit in een map zoals C:\Program Files\winlogbeat. Het is een eenvoudig ZIP-bestand, dus pak het gewoon uit – er is geen installatieprogramma nodig.

Bewerk het configuratiebestand

De echte magie gebeurt in winlogbeat.yml. Open dit bestand met Notepad++ of een andere teksteditor naar keuze. De standaardconfiguratie is minimaal, wat prima is om mee te beginnen, maar je wilt het bestand wel laten verwijzen naar je Graylog-server. Dit is waarom: Winlogbeat stuurt logboeken via Logstash of rechtstreeks naar Graylog, dat moet luisteren op TCP-poort 5044 (of de poort die je in Graylog hebt ingesteld).Let goed op de YAML-syntaxis: spaties zijn essentieel en inspringen is belangrijk. Een typische configuratie voor basis Windows-logboeken ziet er als volgt uit:

winlogbeat.event_logs: - name: Application ignore_older: 72h - name: Security - name: System output.logstash: hosts: ["192.168.14.146:5044"]

Vervang dit 192.168.14.146door het IP-adres of de hostnaam van uw Graylog-server. Wilt u alleen specifieke gebeurtenissen verzamelen? Voeg filters toe, bijvoorbeeld om alleen beveiligingsgebeurtenissen met bepaalde ID’s of ernstniveaus te verzamelen. Hiervoor kunt u uw winlogbeat.yml aanpassen en filters inschakelen zoals gebeurtenis-ID 4624 (aanmeldingen) of 4740 (accountblokkeringen).Bekijk de voorbeelden op Hochwald.net voor complexere configuraties indien nodig.

Valideer de configuratie en start Winlogbeat

Voer deze opdrachten uit in PowerShell of de opdrachtprompt C:\Program Files\winlogbeat:

.\winlogbeat test config .\winlogbeat test output

Dit bevestigt dat je configuratie in orde is en de verbinding met Graylog werkt. Als alles groen is, installeer dan de service met dit script:

.\install-service-winlogbeat.ps1 Start-Service winlogbeat

Controleer nu in de Graylog-webinterface de betreffende stream; de logs zouden binnen enkele minuten moeten verschijnen. De eerste keer kan het soms wat haperen, omdat Windows- en netwerkinstellingen gesynchroniseerd moeten worden, maar na een herstart of een snelle herlaadbeurt zouden de logs moeten verschijnen. In sommige configuraties duurt het iets langer voordat de logs verschijnen, vooral als de firewall van de agent niet correct is geconfigureerd.

Zorg ervoor dat de logboeken binnenkomen.

Ga naar de webinterface van Graylog, zoek je stream (of maak een aparte stream aan voor Windows-logboeken) en filter op recente gebeurtenis-ID’s, zoals 4624 of 4767. Als je logboeken ziet, gefeliciteerd: je configuratie werkt. Zo niet, controleer dan de firewallregels, de poorttoegankelijkheid en of Winlogbeat zonder fouten in de logboeken draait ( Get-WinEvent -LogName "Application"om indien nodig handmatig problemen op te lossen).

Winlogbeat verfijnen om uw logboeken te filteren

Niet elk logboek is nuttig, en het filteren van overbodige informatie helpt. U kunt Winlogbeat zo configureren dat alleen bepaalde gebeurtenis-ID’s worden verzameld, zoals beveiligingsgerelateerde gebeurtenissen (mislukte aanmeldingen, accountvergrendelingen, groepswijzigingen).De voorbeelden laten zien hoe u gebeurtenis-ID’s en niveaus kunt specificeren. Om bijvoorbeeld alleen kritieke beveiligingsgebeurtenissen te verzamelen, kunt u uw configuratie aanpassen:

winlogbeat.event_logs: - name: Security event_id: 4624, 4740, 4720, 4726 level: critical, error ignore_older: 24h

Dit houdt uw Graylog-inbox overzichtelijk en voorkomt dat deze overspoeld raakt met nutteloze logberichten. Het implementeren van dergelijke filters kan uw zoekopdrachten aanzienlijk versnellen en de benodigde opslagruimte verminderen. Wees echter voorzichtig: als u te streng filtert, mist u mogelijk belangrijke meldingen.

Hoe u Active Directory- en domeincontrollergebeurtenissen kunt zoeken en analyseren

De echte kracht van gecentraliseerde logboeken komt pas tot uiting wanneer je in Graylog naar specifieke gebeurtenissen zoekt. Stel, je wilt weten wie een gebruikersaccount heeft geblokkeerd (gebeurtenis-ID 4740).Je kunt dan een query maken zoals:

winlogbeat_event_code:(4740 OR 4625) AND winlogbeat_event_provider:Microsoft-Windows-Security-Auditing

In veel configuraties geeft dit binnen enkele seconden resultaten weer, zoals van welke machine de gebeurtenis afkomstig is, welke gebruiker erbij betrokken was en andere details. Handig voor beveiligingsmedewerkers of voor het oplossen van problemen met geblokkeerde accounts. Voor andere veelvoorkomende AD-gebeurtenissen is hier een handig overzicht:

  • 4767 — wie heeft een account ontgrendeld?
  • 4724 — wie heeft iemands wachtwoord gereset?
  • 4720/4722/4725 — door gebruiker aangemaakt/ingeschakeld/uitgeschakeld?
  • 4727/4728/4729/4730 — wijzigingen in groepslidmaatschap.
  • 5137/5136/5141 — Groepsbeleidsobjecten (GPO’s) die zijn aangemaakt of gewijzigd.
  • 4624 — succesvolle aanmeldingen, nuttig voor audit trails.

Zorg ervoor dat uw domeincontrollers deze logboeken verzenden door het standaardbeleid voor domeincontrollers in Groepsbeleidsbeheer te configureren. Schakel relevante auditbeleidsregels in, met name voor beveiligingsgebeurtenissen. Na de configuratie kunt u opgeslagen zoekopdrachten en dashboards in Graylog maken om verdachte activiteiten of nalevingsproblemen in de gaten te houden. Waarschuwingen kunnen u bijvoorbeeld informeren als er te veel mislukte aanmeldingen zijn of als er belangrijke wijzigingen zijn aangebracht.

Centralisatie van gebeurtenisregistratie voor betere beveiliging en probleemoplossing

Graylog maakt van uw Windows-gebeurtenislogboeken één betrouwbare bron. Of het nu gaat om het bewaken van RDP-verbindingen, het bijhouden van bestandstoegang of het detecteren van door malware veroorzaakte wijzigingen in logboeken, gecentraliseerde logging is een echte gamechanger. Zo verspilt u geen tijd meer met het schakelen tussen verschillende machines. Alles is toegankelijk vanuit één dashboard. Bovendien maakt de mogelijkheid om waarschuwingsregels in te stellen en rapporten te genereren compliance en incidentrespons aanzienlijk eenvoudiger.

Als uw omgeving dus strikte controle over Windows- en AD-logboeken vereist, is het instellen van Winlogbeat-doorsturing naar Graylog niet al te ingewikkeld, maar levert het enorme voordelen op. Na de configuratie zijn uw logboeken schoner, verloopt het zoeken sneller en is incidentdetectie eenvoudiger. Het lost misschien niet direct alles op, maar het is een solide stap voorwaarts, vooral als er meerdere domeincontrollers of een uitgebreid netwerk bij betrokken zijn.