Enrôlement d'un serveur Windows
Installation de Sysmon pour récupérer la journalisation des actions « administrateur » et installation de l’agent Elasticsearch pour remonter les logs vers ELK.
Sysmon
Télécharger Sysmon et extraire le zip : Sysmon
Lancer une fenêtre CMD en tant qu’administrateur et lancer la commande suivante pour installer Sysmon :
Sysmon.exe
Agent Elasticsearch
Lancer les commandes Powershell suivantes en tant qu’administrateur :
$ProgressPreference = 'SilentlyContinue'
Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-9.1.5-windows-x86_64.zip -OutFile elastic-agent-8.11.2-windows-x86_64.zip
Expand-Archive .\elastic-agent-9.1.5-windows-x86_64.zip -DestinationPath .
.\elastic-agent-9.1.5-windows-x86_64\elastic-agent.exe install --url=https://172.17.3.25:8220 --enrollment-token=UzM5clBvc0JXclQzNFJyS2dmREM6X1lBeTFlV1dRWUNxcmZ0REtLNjRfdw== --insecure
Remove-item .\elastic-agent-9.1.5-windows-x86_64\, .\elastic-agent-9.1.5-windows-x86_64.zip -Recurse