【网安合规】使用 Promtail - 快速过滤收集Windows事件日志,合规利器!

已于 2024-04-18 20:50:43 修改
阅读量1k 收藏 8
点赞数 15
文章标签: windows
于 2024-04-17 00:01:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013072756/article/details/137853592
版权

71cbf6232ff5b4160a3d1af733819f24.jpeg

afe82cf1c66f7fc1e227bed0bc449748.gif

[ 知识是人生的灯塔,只有不断学习,才能照亮前行的道路。]

大家好,我是【WeiyiGeek/唯一极客】一个正在向全栈工程师(SecDevOps)前进的技术爱好者  

作者微信:WeiyiGeeker  
公众号/知识星球:全栈工程师修炼指南  
主页博客: 【 https://weiyigeek.top 】- 为者常成,行者常至。

前言简述

描述:在上一篇文章中,已经将 Windows Server 业务服务器通过 syslog 的方式将系统日志转发到 远程 rsyslog 日志服务器中,但是由于 rsyslog windows agent 诸多限制(太贵了),所以最终放弃了此方法,从而继续查看是否有其他更好的收集Windows 事件日志的方法,通过搜索引擎,最终找到 Promtail 采集 Windows Server 事件日志的配置方法,这里不得不说到国内关于使用 Promtail 采集 Windows Server 事件日志的资料很少,大多只是只言片语,所以作者在实践中遇到的许多的坑,最终是靠着Loki官方日志、和issue以及不断的尝试,这里记录下以便后续有需求的童鞋,也希望各位看友能多多支持《#网络安全攻防实践》专栏,收获一定大于付出。

192e23874553bd6c2a932c95a44dc9fb.png

专栏原文:【网安合规】使用 Promtail - 快速过滤收集Windows事件日志,合规利器!作者从工作需求以及等保要求出发,将采集企业里还在为业务提供支撑的Windows Serve系统中实践日志,通过使用PLG日志架构(Promtail+Loki+Grafana)采集Windows事件日志,并通过Grafana来检索存储日志事件icon-default.png?t=N7T8https://mp.weixin.qq.com/s/kQWG1YfFcRGhh1tdQsqvmw

此文实践效果展示:

温馨提示:如需下载一键安装PowerShell脚本以及Promtail 、rsyslog agent 工具的请在文末获取

579fdeebfc4e1d837ad8124e5d1520b5.png

weiyigeek.top-使用Powershell脚本快速部署抓取系统事件日志图

57f8c20158345c34e5775e6702c2e8c2.png

weiyigeek.top-Windows日志语系与时间时区图

14c2beda9f9dd027d7844a274863102c.png

weiyigeek.top-使用Grafana检索采集的Windows系统事件日志图

通过Loki官方文档提到,在 Windows 上,Promtail 支持读取事件日志,可以使用 Windows_events 节配置抓取 Windows Server 事件目标, 并发送到 Loki 服务器,其配置说明文档如下:

  • https://grafana.com/docs/loki/latest/send-data/promtail/scraping/#windows-event-log

  • https://grafana.com/docs/loki/latest/send-data/promtail/configuration/#windows_events

Windows_events 配置详述:

windows_events:
  # Promtail是否应该传递传入日志生成的时间戳,当为 false 时将当前时间戳分配给日志。
  [use_incoming_timestamp: <bool> | default = false]
  
  # 抓取新事件的时间间隔。默认目标每3秒检查一次。
  [poll_interval: <duration> | default = 3s]

  # 用于事件呈现的LCID(区域设置ID)
  # - 1033 to force English language
  # -  0 to use default Windows locale
  [locale: <int> | default = 0]

  # 事件日志的名称,仅当 xpath_query 为空时使用,更多日志可使用 `wevtutil el` DOS 命令查看事件日志名称。
  # Example: "Application" "System" "Security"
  [eventlog_name: <string> | default = ""]

  # xpath_query可以是定义的缩写形式,例如 "Event/System[EventID=999]",更多 XPath 查询语法请参考:
  # https://docs.microsoft.com/en-us/windows/win32/wes/consuming-events
  [xpath_query: <string> | default = "*"]

  # 书签包含目标在XML中的当前位置,当重新启动或推出Promtail时,目标将继续根据书签位置从它停止的地方刮取事件(特别注意:它是自动创建的)。
  [bookmark_path: <string> | default = ""]

  # 允许排除xml事件数据,自定义事件数据,以节省空间。
  [exclude_event_data: <bool> | default = false]
  
  # 允许排除人性化事件消息,建议启用
  [exclude_event_message: <bool> | default = false]
  
  # 允许排除 windows 事件的用户数据,自定义事件数据,以节省空间。
  [exclude_user_data: <bool> | default = false]
  
  # 添加到从windows事件日志读取的每条日志行的标签
  labels:
    [ <labelname>: <labelvalue> ... ]

温馨提示:默认情况下,事件每 3 秒定期抓取一次,但可以使用 poll_interval,若有要订阅特定事件流,您需要提供 eventlog_namexpath_query 参数

实践步骤:

Step 1.每一个Grafana-Loki版本都包含Promtail的二进制文件,此处作者使用v3.0.0版本的Promtail.

链接直达:

https://github.com/grafana/loki/releases/download/v3.0.0/promtail-windows-amd64.exe.zip

温馨提示:由于最新版本可能会根据时间的变化而变化,而不同的版本配置上有些许差异,若需要选择最新版本请自行测试如下配置是否可行,若不行请参考官方文档进行调整。

温馨提示:若无法访问Github下载promtail,请访问 https://d.serctl.com/ 镜像站来下载。

Step 2.将下载的 promtail-windows-amd64.exe.zip 压缩包上传到需要抓取系统事件日志的服务器上解压,然后按照下述示例配置 promtail.yaml 文件,作者添加了用Promtail 流水线阶段处理过滤审计需要关注的 Windows事件。

完整原文,请访问公众号获取:【网安合规】使用 Promtail - 快速过滤收集Windows事件日志,合规利器!作者从工作需求以及等保要求出发,将采集企业里还在为业务提供支撑的Windows Serve系统中实践日志,通过使用PLG日志架构(Promtail+Loki+Grafana)采集Windows事件日志,并通过Grafana来检索存储日志事件icon-default.png?t=N7T8https://mp.weixin.qq.com/s/kQWG1YfFcRGhh1tdQsqvmw

全栈工程师修炼指南
关注
2021/12/17—loki-Grafana-promtail分析Nginx日志
zq315749330的专栏
12-21 1846
1. Nginx配置文件添加GeoIP2数据库 GeoIP2安装 yum -y install https://github.com/maxmind/geoipupdate/releases/download/v4.8.0/geoipupdate_4.8.0_linux_386.rpm 更新数据库 cat <<'EOF' >>/etc/GeoIP.conf # GeoIP.conf file for `geoipupdate` program, for versions .
Loki & Promtail 详解
Ch3nnn的博客
03-17 4408
Loki 是受 Prometheus 启发的水平可扩展、高可用、多租户日志聚合系统。非常适合采集 Kubernetes Pod 的日志,关键 Loki 还易于操作且更加轻量级(相比 ELK/EFK/EFLK )。首先,在 Grafana 添加 Prometheus 数据源,URL 只需要填入 http://loki-ip:3100/loki 即可将 LogQL 查询转换为 Prometheus 指标。关于更多 Loki 和 Promtail 配置,以及日志的告警,推荐直接看官方文档,已经很详细了。
promtail-windows-amd64.exe.zip
01-03
Loki是受Prometheus启发的水平可扩展,高度可用的多租户日志聚合系统。它的设计具有很高的成本效益,并且易于操作。promtail 是代理,负责收集日志并将其发送给Loki。
搞定Loki+Promtail轻量级日志系统
最新发布
weixin_43749805的博客
07-05 845
Promtail使用 Loki 的 /loki/api/v1/push 接口将日志数据发送到 Loki。Promtail 是 Loki 的日志收集客户端,它的主要功能是从各种来源收集日志并将其发送到 Loki 进行存储和查询。Promtail 读取配置文件(例如 promtail-config.yaml),配置文件中定义了日志文件路径、标签、以及 Loki 服务器的地址等。Promtail 监控指定的日志文件或目录,当日志文件有新的条目时,Promtail 通过 inotify 或类似机制接收通知。
windows本地 Loki+Promtail+Grafana
qq_39168874的博客
05-31 3450
在现代的监控和可观察性系统中,实时日志聚合、存储和可视化是至关重要的。而 Loki、Promtail 和 Grafana 正是在这一领域中备受赞誉的三个开源工具,它们的结合能够为我们提供强大的日志管理和可视化解决方案。Loki 是由 Grafana Labs 开发的一个水平可扩展、高可用性、多租户的日志聚合系统。Loki 专注于存储和索引日志数据,并通过一种名为 “LogQL” 的查询语言高效地检索日志数据。
promtail-linux-amd64.zip(对应loki V1.5.0)
05-22
Promtail是将本地日志的内容发送到私有Loki实例或Grafana Cloud的代理。通常将其部署到每台需要监视应用程序的计算机上。 它主要是: 发现目标 将标签附加到日志流 将它们推送到Loki实例。
promtail-app:Promtail-Loki的日志记录代理
03-15
促销图 Promtail是一个日志记录代理,旨在与Loki日志记录服务器一起使用。 该图表主要用于我们的。 Promtail使用HTTP协议在网络上工作,因此可以在任何群集上用于将其日志转发到Loki实例。 请注意,您可以在同一个集群上运行多个promtail实例,但是要为它们提供合理的配置(即避免重复)。 默认配置从操作系统中的所有Kubernetes Pod和systemd-journald日志服务转发日志。 正在安装 有3种方法可以将此应用程序安装到租户群集上。 在控制平面上直接创建App自定义资源。 配置中 values.yaml 这是您可以使用我们的网络界面上传的值文件的示例。 # values.yaml 源代码来源 helm/promtail的源代码是一个git-subtree,它来自 。 Giant Swarm使用该存储库来跟踪和调整Grafana Labs维护的
最新完整版标准 ISO 37301-2021 中文 合规管理系统 - 要求和使用指南.pdf
04-13
最新完整版标准 ISO 37301-2021 中文 合规管理系统 - 要求和使用指南.pdf
ISO 37301:2021 合规管理制度--要求与使用指南 - 最新完整中文翻译版(33页).pdf
09-03
ISO 37301:2021 是一项国际标准,旨在为组织提供一套合规管理制度的要求和使用指南。这个标准适用于所有类型的组织,无论它们是公共部门、私营部门还是非营利组织,无论规模大小和业务性质。其核心目的是帮助组织...
ISO 37301-2021 中文 合规管理系统 - 要求和使用指南.pdf
03-12
ISO 37301-2021 中文 合规管理系统 - 要求和使用指南.pdf
ISO 37301:2021 合规管理系统 - 要求和使用指南 - 最新完整英文版.rar
08-26
ISO 37301:2021是国际标准化组织(ISO)发布的一套标准,专门针对合规管理系统的建立、实施、维护和改进。这个标准为组织提供了一个框架,帮助它们确保其业务活动符合法律法规和其他相关要求,从而增强公众信任,...
使用Grafana+loki+promtail入门级部署分布式日志系统(windows环境)
evanelaine的博客
08-04 3471
使用Grafana+loki+promtail入门级部署分布式日志系统(windows环境) 环境 分布式项目部署在windows环境下,日志分布在多台windows服务器下,日志大、且查询不便。特此搭建分布式日志收集分析查询系统。 组件介绍 本套分布式日志查询系统使用loki、promtail、grafana Promtail是代理,负责收集日志并将其发送给Loki。 Loki是主服务器,负责存储日志和处理查询。 Grafana用于查询和显示日志。 在windows环境上搭建过程 1 安装Graf
Grafana Promtail 配置解析
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
01-10 2483
由于目前项目一般都是部署在k8s上,因此这篇文章中的配置只摘录k8s相关的配置,仅供参考,其他的配置建议上官网查询。
第4讲 | 日志数据的提取、过滤和清洗
北京凡得科技有限公司
08-26 999
任何流程挖掘任务的起点都是所记录的事件
promtail对接loki收集日志
热门推荐
等风来也chen
12-30 1万+
Loki的搭建就不作说明,相对简单,只需挂载配置文件与端口即可 如果是自己制作的image,启动loki需要指定配置文件进行启动 promtail搭建 promtail搭建采用导入yaml文件方式进行搭建 注意事项:搭建时注意namespace,镜像,以及loki服务器地址 部署文档 kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v...
万字长文 - Python 日志记录器logging 百科全书 之 日志过滤
苟日新,日日新,又日新!!!
11-15 1003
日志过滤!!!有效地使用日志过滤器不仅帮助开发者更好地调试和监控应用程序,而且还有助于保护敏感信息,提高应用性能和可维护性。
Promtail 配置文件说明
JineD的博客
09-28 7347
Promtail 是负责收集日志发送给 loki 的代理程序,Promtail 默认通过一个文件进行配置,其中包含 Promtail 服务端信息、存储位置以及如何从文件中抓取日志等配置。要指定加载哪个配置文件,只需要在命令行下通过参数传递 YAML 配置文件即可。此外我们还可以通过在配置文件中使用环境变量引用来设置需要的配置,但是需要在命令行中配置。然后可以使用${VAR}来配置,其中VAR其中是在环境变量未定义的情况下要使用的默认值。默认的。
promtail 配置详解_基于Grafana实现的Loki日志聚合系统部署
weixin_39576294的博客
12-22 3936
相比较ELK或EFK更轻便,高效,类似于k3s之于k8s。Loki操作简单,且资源效率高,节省成本,Grafana原生支持。使用Prometheus 相同的标签记录流对日志进行索引和分组,这使得日志的扩展和操作效率更高。Loki由3个部分组成:1. loki是主服务器,负责存储日志和处理查询。2. promtail是代理,负责收集日志并将其发送给 loki 。3. Grafana用于 U...
合规管理体系要求及使用指南 pdf
08-04
合规管理体系是指一个组织为了确保其业务活动符合法律法规和行业标准,有效管理风险的体系。合规管理体系要求及使用指南是一个针对组织进行合规管理的操作指南,主要包括以下要求和指导: 1. 法律法规合规要求:合规管理体系要求组织了解和遵守适用的法律法规,并在其业务活动中确保合规性。指南提供了对各个国家和地区的法律法规进行解读和说明,帮助组织了解自身的法律义务和责任。 2. 内部控制和风险管理要求:合规管理体系要求组织建立有效的内部控制措施,防止和控制合规风险的发生。指南提供了一系列的内部控制和风险管理的实践指导,包括风险识别、评估和应对措施的制定。 3. 安全和保密要求:合规管理体系要求组织保护客户和机密信息的安全。指南提供了关于信息安全管理的要求和指导,包括数据保护、网络安全和身份验证等措施。 4. 诚信和道德要求:合规管理体系要求组织遵循诚信和道德的原则,确保其业务活动的合法性和公正性。指南提供了一系列的道德和职业行为准则,帮助组织建立良好的商业道德和职业操守。 5. 监督和追责要求:合规管理体系要求组织建立有效的监督和追责机制,确保合规管理的有效实施。指南提供了监督和追责的指导原则和方法,包括内部审计、风险评估和违规行为处理等方面的要求。 综上所述,合规管理体系要求及使用指南提供了一个全面的合规管理框架和实施指南,帮助组织建立和优化合规管理体系,并确保其业务活动合法、规范和风险可控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈工程师修炼指南

原创不易,赞赏鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值