הסבר והתקנת ELK – ElasticSearch | Logstash | Kibana

מסמכים קשורים
Office 365 ProPlus בחינם לסטודנטים באוניברסיטת בן גוריון בנגב הוראות סטודנטים באוניברסיטת בן גוריון בנגב יכולים להוריד ולהתקין את חבילת התוכנה Office

מדריך להתקנת Code Blocks מדריך זה נועד לתאר את תהליך התקנת התוכנה של הקורס "מבוא למחשב שפת C". בקורס נשתמש בתוכנת Code::Blocks עם תוספת )אשף( המתאימה

הגדרת תעודת אבטחה ב VestaCP בחינם,התקנת שרת ISPConfig ורכיביו Linux ISPConfig Server (Apache MySql PhpMyAdmin PostFix Dovecot, ),התקנת Sentora ב

(Microsoft Word - SQL\353\351\345\345\365 \341\361\351\361 \360\372\345\360\351\355 \ doc)

הסבר על Firewall והתקנת pfsense,הגדרת תעודת אבטחה ב VestaCP בחינם

2013/14 אוניברסיטת חיפה מבוא למדעי מחשב, מעבדה מטרת המעבדה: לתרגל את המעבר מאלגוריתם לקוד C כמה שיותר. הוראות:.1.2 ניתן לעבוד ביחידים או בזוגות. (יש מ

Microsoft Word IG Lab - Configure Wireless Router in Windows Vista.docx

PowerPoint Presentation

פרויקט שורשים דמות

WinZIP תוכנה לדחיסת קבצים ספטמבר 2007

Microsoft Word - Ass1Bgu2019b_java docx

Unix & Linux Basics,CSMA/CD vs CSMA/CA As a Collision Domain

הוספת קישור לאתר אינטרנט תוכן ממשק בדיקת מטלות...3 איחוד אתרי קורסים...5 סל מחזור... 7 חידושים בפעילויות...8 תצורת קורס: כפתורים... 9 פורומים...10 שיפ

הסבר והגדרת Telnet בSwitch,הסבר והגדרת התחברות מאובטחת בSSH לSwitch,הגדרת Default Gateway לסוויצ’ Switch,הגדרה ראשונית בסוויצ’ והגדרה בסיס

מדריך להתחלה מהירה Microsoft Project 2013 נראה שונה מגירסאות קודמות, ולכן יצרנו מדריך זה כדי לעזור לך ללמוד להכיר אותו. סרגל הכלים לגישה מהירה התאם אי

מיכפל

יצוא לחשבשבת תוכן עיניינים הגדרות - חשבונות בנק...2 הגדרות - הגדרות חשבשבת... 3 הגדרות - כרטיסי אשראי... 4 הגדרות - סוגי הכנסה... 5 יצוא לחשבשבת...6 י

הסבר והגדרת DNS ב Windows Server המקיף ביותר,ביצוע Privilege Escalation בעזרת Task Scheduler ממשתמש רגיל ל Domain Admin,Linux DNS,צירוף מחשב לדומיין |

SPAM Everyone's favorite food Aviram Jenik

משימה תכנית המתרגמת קטעי טקסט לשפה אחרת הקלט: קובץ המכיל את קטעי הטקסט וכן את השפה אליה רוצים לתרגם תרגול מס' 4: המתרגם שימוש במחלקות קיימות תכנות מתק

מדריך למרצים ומתרגלים 1

סריקת Metasploitable3 על ידי NMAP,הסבר והגדרת Microsoft VPN Server 2016,זיהוי רכיבים ברשת על ידי NetDiscover,הסבר על VPN והתקנת OpenVPN,התקנת שרת Linu

T01-1page

הסבר על HSRP, VRRP, GLBP

מצגת של PowerPoint

ת'' מדריך לבעלי תיבה קיימת במופ ומשתמשים ב Outlook 2003 או doc.2007 לפני שניגש להגדיר את תיבת המייל החדשה, נבצע גיבויי של המיילים ופנקס הכתובות מהחשבו

Titre du document en police Sodexo

PowerPoint Presentation

שאלה 2. תכנות ב - CShell

DCA & A/B Testing

Microsoft Word - sync_LG.doc

Slide 1

פייתון

הנחיות הורדה ותפעול לספרים דיגיטלים. הוצאת כנרת, זמורה ביתן שמחה להגיש לכם, התלמידים, ספר דיגיטלי. הספרים עצמם הינם בקבצי PDF הניתנים להורדה ללא עלות

דף נגזרות ואינטגרלים לשאלון 608 כללים למציאת נגזרת של פונקציה: n 1. y' n x n, y הנגזרת x.1 נכפול בחזקה )נרשום אותה משמאל ל- (. x א. נחסר אחד מהחזקה. ב

ISI

תרגול מס' 4: המתרגם שימוש במחלקות קיימות מחרוזות, קבצים, וקבלת קלט מהמשתמש

HTML - Hipper Text Makeup Language

People. Partnership. Trust מסלול Free פורטל החינוך מבית U-BTech מסלולים ומחירים חיבור לשירותי Office 365 ללא עלות פורטל התחברות הכולל ממשק למנב"ס ולסי

PowerPoint Presentation

תוכן הגדרת שאלת רב-ברירה ]אמריקאית[...2 הגדרת שאלת נכון\לא נכון...8 שאלות אמריקאיות 1

People. Partnership. Trust שלבי הפרויקט והמסלולים השונים - פלטפורמת "קהילה לומדת" מסלול Free שלבי הפרויקט: חיבור לשירותי Office 365 ללא עלות פורטל התח

Slide 1

מבוא למדעי המחשב

.#8)* '!),$ .76%2):: '!),: 98: %)8(% ,) !20/

מערכות הפעלה קורס מס'

PowerPoint Presentation

תשע"דד אביב תוכנה 1 תרגיל מספר 4 עיבוד מחרוזות וקריאה מקבצים הנחיות כלליות: קראו בעיון את קובץ נהלי הגשת התרגילים אשר נמצא באתר הקורס..(

מבוא לאסמבלי

מספר זהות: סמסטר ב' מועד א' תאריך: 11102/4// שעה: 9:22 משך הבחינה: 3 שעות חומר עזר: אין מותר השימוש במחשבון פשוט בחינה בקורס: מבני נתונים מרצה: הדר בי

הכרת משאבי הספרייה קורס מקוון חיפוש במאגרי המידע ו- PubMed Biosis Previews, Zoological Record )לתלמידי החוג למדעי החיים( (Biosis Previews:

סימולציה | ראיון עבודה – מבחן תקשורת נתונים | CCNA בסיס,ראיון עבודה – מבחן מנהל רשתות חלק ב’,ראיון עבודה – מבחן מנהל רשתות חלק

.#8)* '!),$ 217):: '!),$ ,'!8$ !20/

מסע מדע ו - מסע ברכב שטח ביבשות רחוקות

ייבוא וייצוא של קבצי אקסל וטקסט

מבוא לתכנות ב- JAVA תרגול 11

מרצים יקרים, אתר המכללה מאפשר למרצי המכללה להזין את פרטיהם וקורות חייהם. זאת בדומה לאתרים מקבילים של מוסדות אקדמיים בארץ ובעולם. עמודי המרצים נועדו לא

- גרסת חורף 18' של Salesforce 10 חידושים בענן המכירות גרסת חורף 18' כבר כאן, ולפני שנסקור את השיפורים בגרסה זו, הכנו לכם חידה: ב- Webinar שעשינו בגרסה

Real Time College Course: Networking Duration: 90 Hours Hands-On-Training

שאלהIgal : מערכים דו מימדיים רקורסיה:

סרגל כלים ל-Outlook או לExplorer- מדריך למשתמש

הפעלה מרחוק

BIG DATA תיאור הקורס המונח Big Data הולך וצובר תאוצה בשנים האחרונות, הוא הופך למגמה רווחת בתעשייה. המשמעות הפרקטית של המונח Big Data הינה טכנולוגיות נ

1 בחירת מנועי חיפוש באינטרנט תוצאות החיפושים באינטרנט, תלויות בבחירת מנוע חיפוש מתאים. אמנם גוגל הוא המנוע המוכר ביותר, ובכ"ז, לעתים השימוש במנוע אחר,

מבוא לתכנות ב- JAVA תרגול 7

Disclaimer מסמך זה הינו סיכום און-ליין של השיעור ולא עבר עריכה כלל. מצאת טעות? שלח/י לי מייל ואתקן: 07/05/2009 קורס: מערכות ה

התגוננות בפני כוחות האופל

שאלהIgal : מערכים דו מימדיים רקורסיה:

מבוא למדעי המחשב

מגדיל טווח דו-ערוצי N300 F9K1111v1 מדריך למשתמש Rev. A00 Wi-Fi RANGE EXTENDER 1

מבוא למדעי המחשב

שיעור 07

תורת הקומפילציה

Microsoft PowerPoint - lecture14_networking.ppt

הגשה תוך שבוע בשעת התרגול

שאלהIgal : מערכים דו מימדיים רקורסיה:

Microsoft Word - I900-Tips_and_Tricks

Slide 1

<4D F736F F D20FAE5F1F4FA20ECE7E5E5FA20E3F2FA20ECE2E1E920E3E9F1F720FAEEE5F0E5FA20E6E9F8FA20E4F8F6E72E646F63>

מהנדס מידע - Engineer Data 295 שעות לימוד אקדמיות תיאור התפקיד: ככל שהאנושות צועדת עמוק יותר לתוך "עידן המידע" והארגונים מאמצים את הטכנולוגיות המתקדמו

הסבר על תעודות אבטחה SSL Certificate,איזה Swtich \ Router מחוברים לSwitch בו אתם נמצאים, הסבר על CDP ועל LLDP

שיעור מס' 6 – סבולות ואפיצויות

<4D F736F F D20E7E5F7E920E0E9EEE5FA20E1E8E1ECE42E646F63>

ForMenahelHeshbonot

ex1-bash

בקרים מתוכנתים – PLC

F9K1106v1 מגדיל טווח אלחוטי דו-ערוצי מדריך למשתמש Rev. A01 Range Extender 1

פתרון מוצע לבחינת מה"ט ב_שפת c מועד ב אביב תשע"ט, אפריל 2019 מחברת: גב' זהבה לביא, מכללת אורט רחובות שאלה מספר 1 מוגדרת מחרוזת המורכבת מהספרות 0 עד 9.

Microsoft PowerPoint - meli-iso.ppt

Microsoft PowerPoint - Lecture1

- איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay מאת מרינה סימקוב וירון זינר, תורגם ע י צפריר גרוסמן הקדמה בעדכונים הקבועים של מיקרוסופט ב

<4D F736F F D20F9E9F2E5F820F1E9EEF0E920E7ECE5F7E4>

Dell Precision 3930 Rack Setup and Specifications

Precision Tower 3630 מדריך הגדרות ומפרטים

Dell OptiPlex XE2 Small Form Factor מדריך למשתמש

PowerPoint Presentation

אוניברסיטת בן גוריון בנגב תאריך המבחן: שקולניק אלכסנדר שם המרצה: מר בשפת JAVA מבוא לתכנות מבחן ב: מס' הקורס : הנדסת תעשיה וניהול מ

תמליל:

הסבר והתקנת ELK ElasticSearch Logstash Kibana במאמר זה אסביר כיצד עובד ELK מהם הכלים בתוכו וכיצד נשתמש בו. ELK ELK הוא קיצור של שלושת הכלים במערכת ELK היא מערכת לאיסוף נתונים וסידורם, בדומה למערכת SIEM האוספת נתוני אבטחת מידע מלוגים Syslog, או כל פורמט של התראות או מידע, כך עושה ELK והוא מסדר ומאפיין את המידע כך שיהיה קל יותר לחפש, לבדוק, לאתר התראות או לוגים מתוך מערכת מסויימת. המערכת עוזרת לנתח, לאגד, לאסוף נתונים ממערכות שונות ובכך לעזור לאבטח את הארגון מבחינת איסוף נתונים הכלים שבונים את ELK Stack הם : ElasticSearch מערכת לניתוח טקסט מבוססת Apache Logstash מערכת לוגים האוספת ומאגדת אותם, היא אוספת לוגים ממערכות שונות כמו winlogbeat,filebeat,metricbeat Kibana היא המערכת הוויזואלית, המציגה בצורה נוחה למשתמש את הלוגים, ומכילה את בתוכה את ElasticSearch ו Kibana ושלל אפליקציות העוזרות לניתוח המערכת

כלי נוסף במערכת הוא Beats המעביר לוגים אל ELK מכל מערכת Linux & Windows יש כמה כלים ל Beats אבל נתמקד בשלושה winlogbeat מעביר לוגים מתוך Eventviewer של מיקרוסופט וניתן להגדיר איזה לוגים הוא ישלח ל ELK filebeat מתוך קובץ לוגים הנמצא במחשב \ שרת הוא ישלח וניתן להגדיר כמה קבצים שרוצים metricbeat שולח לוגים לגבי מצב המעבד, זיכרון ה,RAM דיסקים וכל ניטור אחר הקיים במערכת Packetbeat אוסף נתוני רשת על התחנה Heartbeat בודק אם התחנה עובדת האם התחנה חיה? יש עוד כלי Beats את כולם ניתן למצוא בקישור הבא אנחנו נתמקד ב בתמונה מתוך האתר *כל הזכויות שמורות ל *Elastic

ניתן להבחין שמערכת ה Beats מעבירה מידע ל Logstash ומשם המידע מועבר ל ElasticSearch ואז ל Kibana וכך המערכת אוספת את הנתונים ומסדרת אותם תחילה נבצע את ההתקנה ולאחר ההתקנה אסביר על הפעולות אותם ניתן לבצע ב ELK הדרישות Ubuntu 18.04 Windows Server עם ) IIS על מנת שנוכל לאסוף לוגים ולהציגם במערכת( וגם מותקן Active Directory כ Domain Controller

תחילה בצעו עדכון למערכת Bridge הגדירו את כרטיס רשת sudo apt-get update על מנת לבצע התחברות מרחוק SSH כעת התקינו apt-get install openssh-server Ubuntu הקישו את שם המשתמש שיצרתם בהתקנה של, אל המערכת Putty כעת התחברו דרך והקישו sudo -i ונוכל לבצע את ההתקנה בצורה קלה יותר Root כעת אתם עובדים עם המשתמש nano נתקין apt-get install nano נתחיל בהורדה של שלושת הרכיבים והתקנתם והגדרתו Java נתחיל בהורדה של sudo apt install openjdk-11-jdk java -version update-alternatives config java echo "JAVA_HOME=/usr/lib/jvm/java-11-openjdk-amd64/" /etc/environment source /etc/environment sudo echo $JAVA_HOME >>

כאשר אתם מקישים את הפקודה sudo echo $JAVA_HOME Output חובה שתקבלו את ה /usr/lib/jvm/java-11-openjdk-amd64/ Java מחייב אותנו לעבוד עם Logstash שכן ELK להפעלה ב Https כעת נוריד את ההגדרה של sudo apt-get install apt-transport-https Elastic נתחיל מהורדה והתקנה של wget -qo - https://artifacts.elastic.co/gpg-key-elasticsearch sudo apt-key add echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list sudo apt-get update && sudo apt-get install elasticsearch ונתקין Kibana נוריד את echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list sudo apt-get update && sudo apt-get install kibana Logstash כעת נוריד ונתקין את sudo apt-get update && sudo apt-get install logstash נערוך Kibana על מנת שנוכל להיכנס מכל מחשב ל Kibana.yml אך תחילה נערוך את הקובץ את הקובץ sudo nano /etc/kibana/kibana.yml ממש כמו בתמונה 0.0.0.0 ונכניס server.hosts מ # נוריד את

9200 בפורט Kibana ואז ל 5044 יגיע לפורט Beats נגדיר שכל לוג שמגיע מ cd /etc/logstash/conf.d nano logstash.conf נכניס לתוך הקובץ את הנתונים הבאים ולאחר מכן נשמור את הקובץ input { beats { port => 5044 } } output { elasticsearch { hosts => "localhost:9200" manage_template => false index => "%{[@metadata][beat]}-%{+yyyy.mm.dd}" document_type => "%{[@metadata][type]}" } } filebeats כעת נתקין את curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat -7.1.1-amd64.deb sudo dpkg -i filebeat-7.1.1-amd64.deb דרכו נכנס למערכת 5601 לפורט FW נגדיר חוק ב

sudo ufw allow 5601/tcp נגדיר שכל האפליקציות יעלו אחרי ריסט sudo sudo sudo sudo systemctl systemctl systemctl systemctl enable enable enable enable kibana filebeat logstash elasticsearch כעת נפעיל את כל האפליקציות sudo service kibana start sudo service logstash start sudo service elasticsearch start כעת נכנס אל המערכת http://yourip:5601 כעת המערכת עלתה הוא כל מ winlogbeat של Index לדוגמה, הם הלוגים המתקבלים מהמערכות השונות Index ElasticSearch ומשם ל Logstash שולח ל winlogbeat העתיקו אותם filebeat ואת winlogbeat נוריד תחילה את, על מנת שנתחיל לקבל נתונים IIS בו קיים ה Windows Server לשרת שלכם ה C חלצו אותם לכונן, ברגע שהורדתם את הכלים

Winlogbeat כעת פתחו Powershell עם הרשאות מנהל נכון לכתיבת שורות אלו גרסה 7.1.1 היא זו שהופצה וכעת יצאה גירסה 2.0 אין בעיה לעבוד עם,2.0 רק התאימו את השמות של התיקייה ל 2.0 הקישו את הפקודה, על מנת להכנס לתיקייה שחילצתם, אם הגירסה שונה שנו את הפקודה בהתאם cd c:\winlogbeat-7.1.1-windows-x86_64 כעת נתקין את winlogbeat powershell.exe -ExecutionPolicy Bypass -File install-service-winlogbeat.ps1 כעת הוא יציג לנו ששירות בשם winlogbeat התווסף למערכת והוא אינו פועל, אל תפעילו אותו עדיין

(++notepad )עדיף עם winlogbeat.yml כעת היכנסו לתיקייה וערכו את הקובץ כדי שלא יחול # והכניסו סולמית output.elasticsearch כעת בתוך הקובץ הכניסו ל #output.elasticsearch hosts: localhost וגם ל #hosts: [ localhost:9200 ] כעת הסירו את הסולמית ל #output.logstash ומ

] hosts: [ IP במקום ה IP של output.logstash הזינו את הכתובת IP של ה ELK נגדיר ל winlogbeat להתקין את הפאנל ברירת המחדל, כך שהנתונים יוצגו בצורה ויזואלית יותר כעת בשורה הזו, הסירו את ה # והגדירו את כתובת ה IP של ELK כעת חזרו ל Powershell והקישו את הפקודה cd c:\winlogbeat-7.1.1-windows-x86_64.\winlogbeat.exe setup dashboards *ברגע שתבצעו את יצירת ה Dashboard לא תצטרכו לייצר Index בהמשך שכן הוא כבר נוצר כעת יש להוסיף # ל output.elastic search ול hosts שלו כעת הכניסו את הכתובת ה IP של ELK שלכם, זה צריך להיראות כמו בתמונה

כעת נפתח את Services.msc ושם נפעיל את השירות winlogbeat זהו, סיימנו להתקין את,winlogbeat עוד נחזור אליו בהמשך שנרצה להגדיר עוד התראות לעוד Events

FileBeat filebeat כעת אותו דבר נתקין את נכנס ל cd c:\filebeat-7.1.1-windows-x86_64 filebeat נתקין את powershell.exe -ExecutionPolicy Bypass -File install-service-filebeat.ps1 ++notepad נערוך אותו עם

winlogbeat נבצע את אותה ההגדרה כמו ב # הסירו את הסולמית output.elasticsearch מתוך השורה #output.elasticsearch hosts: localhost וגם ל #hosts: [ localhost:9200 ] הסירו את הסולמית ל #output.logstash ומ hosts: [ IP ]

כעת הכניסו בשורה למעלה בדיוק כמו בתמונה את הנתיב *\*\ c:\inetpub\logs\logfiles כעת חפשו בשורה setup.kibana מתחת יש את השורה " #host: "localhost:5601 שנו את הכתובת לכתובת ה IP שלכם ואל תשכחו להסיר את #!!!! " host: "192.168.31.66:5601 הכוכביות זה בגלל שהלוגים של IIS נמצאים בתוך תיקיות ב logfiles שכל תיקייה כזו יכולה להיות אתר

IIS נפעיל את מודל ה IIS כעת על מנת לוודא שנקבל לוגים מ כעת מצאו את השורה setup.dashboards.enabled: false שנו ל setup.dashboards.enabled: true Powershell הקישו ב Powershell נחזור ל.\filebeat.exe modules enable iis בדקו כי הוא מופעל על ידי הפקודה.\filebeat.exe modules list כעת בצעו התקנה.\filebeat.exe setup -e Dashboards כעת נגדיר את ה filebeat setup --dashboards בהמשך שכן הוא כבר נוצר Index לא תצטרכו לייצר Dashboard *ברגע שתבצעו את יצירת ה כעת ולסיום היכנסו לנתיב C:\filebeat-7.1.1-windows-x86_64\modules.d ערכו את הקובץ iis.yml הכניסו בו את ההגדרות הבאות

- module: iis access: enabled: true var.paths: ["C:/inetpub/logs/LogFiles/*/*.log"] error: enabled: true var.paths: ["C:/Windows/System32/LogFiles/HTTPERR/*.log"] שמרו וצאו filebeat הפעילו את ELK נחזור ל, במערכת Indexes כעת יווצרו לנו נקיש winlogbeat בכדי לקבל את כל הלוגים של winlogbeat* Next step ואז לחצו על

כעת בחרו שהפילטר שיסדר את כל הלוגים הוא לפי זמן

Create index pattern ואז לחצו על filebeat ל Index על מנת ליצור Create Index Pattern כעת לחצו שוב על כעת רשמו filebeat*

לחצו הבא ואז סמנו timestamp בדיוק כמו ב winlogbeat וצרו את ה,index כעת יצרתנו,index 2 לחצו שוב על Discover

כעת יופיע כל הנתונים, מתוך הרשימה ניתן לבחור איזה Log Beat להציג כעת לאחר שהתקנו את המערכות והם שולחים לוגים אל ה,ELK נעשה בדיקה קטנה, נבחר את

filebeat כעת אקיש את כתובת ה IP של השרת IIS שלנו 192.168.31.11 ואכנס אליו כעת אעבור ל ELK

בחיפוש אקיש את הכתובת ממנה גלשתי ל 192.168.31.11 הכתובת היא 192.168.31.181 ונבדוק אם הכתובת מופיע מצויין, עד כה עשינו חיפוש פשוט במערכת ובלוגים הנשלחים אלינו כעת למטרה הראשית, כעת נכין DashBoard ובו נתונים שמעניינים אותנו לדוגמה, איפוס סיסמא ב,Active Directory מתי בוצע האיפוס? מי ביצע את האיפוס סיסמא? ולמי ביצעו את האיפוס סיסמא? כך נוכל ליצר Dashboard שבו נקבל את המידע הזה בקלות. נפתח את ה Windows Server ונפתח את,Active Directory יצרתי משתמש בשם Noy כעת נבצע איפוס סיסמא

כעת אפתח עוד משתמש בשם Liya אבל למשתמש זה לא האפס סיסמא כיוון שיצירת משתמש חדש והגדרת סיסמא למשתמש מוגדר כאיפוס סיסמא נפתח את,Event Viewer ניתן לפתוח את Run ולהקיש eventvwr.msc ושם נחפש את ה EventID שמספרו 4724 זה Event שנוצר כאשר למשתמש בוצע איפוס סיסמא כעת אחזור למערכת ELK ושם אבצע חיפוש ל 4724 כעת לחצו על החץ הקטן )מסומן באדום(

אלו כל הנתונים שקיבל ה ElasticSearch מ Winlogbeat כעת נרד קצת למטה, ונבדוק איפה כתוב, Noy המשתמש שסיסמתו אופסה, והמשתמש שאיפס שהוא Administrator זאת על מנת ליצור את ה Dashboard

חדש ונדביק את הנתונים כמו כאן Notepad נפתח Dashboard כיוון שכך נוכל ליצור את ה, למה אנחנו צריכים את ההגדרות האלו The User Password Change: winlog.event_data.targetusername Who Change The Password: winlog.event_data.subjectusername When Password Reset: @timestamp! הראשון שלנו Dashboard וכעת ניצור את ה add ואז Dashboard נלחץ בצד שמאל על

Add New Visualization כעת נלחץ על

Data Table כעת על

winlogbeat וכעת על

כעת נלחץ על Add Filter ואז נבחר \ נרשום winlog.event_id ואז נבחר is ואת ה Event ID שהוא 4724

כעת נגדיר שיוצגו לוגים 15 יום אחורה כעת בצד שמאל

Split Rows כעת לחצו על זה לפי winlog.event_data.targetusername כמובן ש, ואז הגדירו את כל ההגדרות הבאות :The User Password Change כתבתי Costum Label הלוג שמקודם הוצאנו ואז ב

בסיום לחצו על,Play מסומן באדום כעת נוצר לנו צורה בה יש שם משתמש שלו שונה הסיסמא וכמות הפעמים

כעת נמשיך, בצד שמאל ממש למטה נלחץ על Add Sub-buckets ואז שוב Split Rows כעת ניצור עוד אחד של winlog.event_data.subjectusername שבו אנו מגדירים מי היוזר ששינה את הסיסמא

עכשיו ניצור עוד אחד באותה הדרך והפעם מתי שונתה הסיסמא

נשמור כעת )מסומן באדום(

ניתן שם

מצויין! יצרנו לוח ראשון ל Dashboard כעת נעבור ל Dashboards נלחץ על Add כעת נחפש הלוח שיצרנו

נלחץ עליו מצויין! יש לנו לוח שבו מוצג לנו איפוס הסיסמאות, נוכל באותה הדרך ליצור תרשים עוגה Pie ניצור Pie במקום Data Table נכניס את הנתונים הבאים

ובתוצאה הסופית, נקבל תרשים עוגה שבו נבין איזה משתמש יש לו הכי הרבה איפוסי סיסמא

הגדרה נוספת שנשאלת הרבה, היא מציאת משתמשים שננעלו בארגון ואיזה מחשב נעל אותם, תשובה לשאלה הנפוצה למה היוזר ננעל? ומאיפה? ה Event ID שאחראי לזה הוא 4740 ואלו 2 ההגדרות שמציגות מי היוזר שננעל ומאיזה תחנה winlog.event_data.targetusername winlog.event_data.targetdomainname

כעת ניתן להבחין מי היוזר שננעל

וכעת נוסיף מאיזה תחנה

כעת נוסיף אותו ל Dashboard שלנו, והופה!

Packetbeat הוא כלי לאיסוף נתוני רשת מתוך התחנה, למשל לאיזה כתובת IP התחנה ניגשה, כמה בקשות Http לעומת Https וכו נתחיל בהורדה של Packetbeat מכאן והורידו והתקינו את התוכנה winpcap לאחר שהתקנתם את Winpcap נמשיך, העתיקו את התיקייה של packbeat ל :c כעת בתוך התיקייה נערוך את packbeat.tml שהוא קובץ ההגדרות )נא לבצע את זה בעזרת ++notepad או כל עורך טקסט אחר(

סולמית לשורות הבאות # כעת נוסיף #output.elasticsearch: #hosts: ["localhost:9200"] סולמית מהשורות הבאות # נסיר output.logstash: # The Logstash hosts hosts: ["192.168.31.66:5044"] ELK של IP ונכניס את כתובת ה

כעת עוד קצת למעלה הסירו # מהכתובת IP של, setup.kibana ממש כמו בתמונה, והכניסו את הכתובת IP של ELK כעת ניתן להבחין בכל הפורטים ש Packetbeat ינטר, ניתן להוסיף פרוטוקולים משלכם, כל עוד הם ברשימה של Packetbeat

כעת נפתח Powershell עם הרשאות מנהל ונתקין את Packetbeat./install-service-packetbeat.ps1 כעת נתקין את ה Dashboards שנוכל להשתמש כברירת מחדל אם נרצה

./packetbeat.exe setup --dashboards packetbeat כעת נפעיל את על מנת לייצר לוג שבו נכנסו לאתר, נכנסתי לאתר שלי

וברגע שהגדרתי packetbeat והכנסתי בחיפוש shushan.co.il הוא מצא את הלוג כעת עברתי ל Dashboards ושם הכנסתי 2 לוחות שהם ברירת מחדל והגיעו בהתקנה שבצענו למשל כמה בקשות http וכמה בקשות DNS בוצעו כל הזכויות שמורות לטל בן שושן Shushan.co.il