Winlogbeat
Winlogbeat
Description
Winlogbeat est un agent conçu par Elastic pour transférer les journaux d'événements Windows.
Configuration
Note
Target OS: Windows
Winlogbeat est configuré par défaut conformément à la documentation.
De plus, les transcriptions de Powershell sont enregistrées.
Enfin, les journaux d'événements récupérés sont :
Application
System
Security
Microsoft-Windows-Sysmon/Operational
Microsoft-Windows-PowerShell/Operational with event ids:
- 4103
- 4104
- 4105
- 4106
Activation
Il suffit de cliquer sur le bouton Ajouter pour déployer Winlogbeat.
Utilisation
Vous devez activer un SIEM afin de vérifier les journaux de Logstash.