Curso ELK: Cómo en Enviar Logs de Windows 11

Artículos relacionados

Curso ELK: Montar ELK Stack en Portainer y Docker Compose

2 junio, 2025

Curso ELK: Fundamentos del Stack ELK

17 mayo, 2025

Guía Completa de Ducky Script en Flipper Zero: Automación y Seguridad

19 abril, 2025

Curso ELK: Cómo en Enviar Logs de Windows 11

En esta entrega vamos a ver algo que muchos se preguntan: ¿puedo enviar los logs de mi Windows 11 al ELK Stack? La respuesta es sí, y además no es tan complicado como parece. Vamos a usar Winlogbeat, un “Beat” desarrollado por Elastic que se encarga específicamente de recolectar eventos del sistema operativo Windows y enviarlos a Logstash o directamente a Elasticsearch.

Usaré mi PC con Windows 11 y ELK que he montado anteriormente bajo Portainer.

Quiero empezar a recibir logs de eventos del sistema, como:

• Inicios de sesión
• Errores del sistema
• Cambios en el registro
• Logs de seguridad

Paso 1: Descargar Winlogbeat

1. Entra a la página oficial de Beats:
   https://www.elastic.co/beats/winlogbeat
   
2. Descarga la versión ZIP adecuada para tu arquitectura (normalmente 64-bit).
3. Extrae el contenido en una carpeta fácil de ubicar, por ejemplo:
   C:\winlogbeat

Paso 2: Configurar Winlogbeat

1. Abre el archivo winlogbeat.yml con tu editor favorito (Notepad++ o Visual Studio Code).
   
2. Busca la sección de output. Aquí decides si vas a enviar los logs a:Opcion A: Directo a Elasticsearch (rápido y sin logstash)
   
   output.elasticsearch: hosts: ["http://IP_DEL_ELK:9200"]

   1 2	output.elasticsearch:    hosts: ["http://IP_DEL_ELK:9200"]

   Opcion B: A través de Logstash (más flexible)
   
   output.logstash: hosts: ["IP_DEL_ELK:5044"]

   1 2	output.logstash:   hosts: ["IP_DEL_ELK:5044"]

3. Opcionalmente, puedes configurar qué tipos de logs quieres recolectar:
   
   winlogbeat.event_logs: - name: Application - name: Security - name: System

   1 2 3 4

   winlogbeat.event_logs: - name: Application - name: Security - name: System

Paso 3: Configura tu firewall (si aplica)

Asegúrate de que tu PC con Windows 11 pueda comunicarse con el host donde está ELK. Si está en otra máquina o VLAN, abre el puerto 5044 (si usas Logstash) o 9200 (si vas directo a Elasticsearch).

Paso 4: Registrar y ejecutar el servicio

1. Abre PowerShell como administrador.
2. Ve a la carpeta de Winlogbeat:
   
   cd C:\winlogbeat

   1	cd C:\winlogbeat

3. Ejecuta:
   
   .\install-service-winlogbeat.ps1

   1	.\install-service-winlogbeat.ps1

   
4. Arrancamos el servicio y comprobamos:
   
   Start-Service winlogbeat Get-Service winlogbeat Status Name DisplayName ------ ---- ----------- Running winlogbeat winlogbeat

   1 2 3 4 5 6 7

   Start-Service winlogbeat   Get-Service winlogbeat   Status   Name               DisplayName ------   ----               ----------- Running  winlogbeat         winlogbeat

    

Paso 5: Verifica que todo funciona

• Entra a Kibana
• Ve a Discover
• Busca el índice: winlogbeat-*
• Si ves eventos… ¡está funcionando!

Entradas Curso ELK

• Curso ELK: Fundamentos del Stack ELK
• Curso ELK: Montar ELK Stack en Portainer y Docker Compose
• Curso ELK: Cómo en Enviar Logs de Windows 11

�Te ha gustado la entrada S�GUENOS EN TWITTER O INVITANOS A UN CAFE?

Follow @@elblogdenegu