Docker

WindowsシステムログをwinlogbeatとElasticsearch + Kibana で可視化

elasticsearch

elasticsearchとkibanaをdockerでインストール

elasticsearchとkibanaのインストールと起動

起動したか確認します。

docker-composeを使用して2つのコンテナを一発で起動できるymlファイルを作成します。

docker-conpose.ymlのあるディレクトリで下記コマンドを実行。

elasticsearchとkibanaのコンテナが立ち上がります。

winlogbeatのインストールと設定

winlogbeatは公式ページからダウンロードします
https://www.elastic.co/jp/downloads/beats/winlogbeat

ダウンロードしたファイルを解凍して任意のディレクトリに設置します。場所はC:\としております。解凍したディレクトリの中のwinlogbeat.ymlを編集します。hostsのIPをelasticsearchのIPにする。 今回の環境では192.168.0.1としています。

その後、Powershellを管理者権限で実行します。

サービスを起動したらelasticsearchにデータがたまります。

ブラウザでkibanaに接続します。http://192.168.0.1:5601
index patternをwinlogbeat-*とし、@Timestampにしてcreateボタンを押します。
kibana_index
index作成後、左のDiscoverをクリックするとデータが可視化されています。

参考サイト

winlogbeat + Elasticsearch + Kibana で Windowsシステムログを可視化する ~ インストールも自動化 ~ - Qiita
# 0.はじめに
Elastic社より提供されている[winlogbeat(ver.1.2.3)](https://www.elastic.co/downloads/beats/winlogbeat)について試してみました。

本記事...

https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-getting-started.html

-Docker
-, , ,