Это готовый к работе аплаенс для сбора и анализа журналов событий Windows на базе стека ELK, предназначенный для небольших компаний (от 5 до 500 хостов).
Для установки необходима виртуальная или физическая машина Debian 8. Рекомендуется минимальная установка системы с дистрибутива netinst с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций.
Во время установки необходим доступ в Интернет (только к стандартным репозитариям Debian, если вы используете локальные репозитарии, доступ в Интернет не нужен).
Рекомендуется не менее 8 ГБ оперативной памяти. Мощность процессоров значения не имеет, процессор класса Intel Atom х64 вполне подойдет. Рекомендуемый объем дисковой памяти не менее 100 ГБ, скорость дисковой подсистемы существенного значения не имеет.
Рекомендуется иметь в сети сервис DNS и настроенные записи PTR для хостов, но это не обязательно.
После установки, на аплаенсе появится общедоступная (только для чтения) SMB-папка agents. В ней будут находиться сконфигурированные агенты Winlogbeat и Metricbeat и скрипты для их автоматической установки. Их можно использовать как для ручной установки на хосты, так и для какой-либо системы автоматической установки (проверено с MS System Center Configuration Manager). Кроме того в этой же папке находится файл win-audit-set.bat, которым можно настроить политику аудита Windows, в том числе «Домашней версии», не имеющей соответствующего редактора политик. Этот файл не зависит от языка системы, поскольку использует GUID идентификаторы политик, а не их названия.
Коммуникации между агентами и сервером закрываются посредством SSL. Используется самоподписанный сертификат сервера, который создается в процессе установки и конфигурации аплаенса. Алгоритм подписи SHA256.
Установка
Необходимо подключение к консоли с полномочиями root.
Образ диска здесь: littlebeat.iso
Для работы с виртуальной машиной просто подключите littlebeat.iso в качестве cdrom, для работы с физической машиной создайте из этого образа cdrom или flashdrive, или скопируйте littlebeat.iso на машину, например, используя WinSCP, и смонтируйте его в какую-нибудь папку.
Перейдите в папку, в которую смонтировали диск и запустите скрипт run.sh.
Пример для запуска с cdrom:
mkdir /root/littlebeat mount -t iso9660 -o ro /dev/cdrom /root/littlebeat cd /root/littlebeat ./run.sh
Пример для запуска со смонтированного iso:
mkdir /root/littlebeat mount -t iso9660 -o loop /root/littlebeat.iso /root/littlebeat cd /root/littlebeat ./run.sh
Совет: если вы используете PuTTY в качестве SSH консоли, то в окне конфигурации в разделе Connection, в подразделе Data, в окошке terminal-type string напишите linux вместо xterm, иначе псевдографика в меню будет выглядеть смешно.
esguardian@outlook.com
Хорошая новость, обязательно протестирую. Интересна реализация некоторых моментов. Спасибо большое!
НравитсяНравится
Спасибо, забрал попробовать.
НравитсяНравится