1. 为什么需要监控Windows安全日志每次服务器被攻击后排查问题时最头疼的就是翻查海量的安全日志。去年我们有个客户服务器被暴力破解等发现时攻击者已经尝试了上万次登录。如果当时有实时监控完全可以在第一次异常登录时就触发告警。Windows系统自带的事件查看器就像个笨重的记事本面对每天GB级的日志数据根本无能为力。这就是为什么我们需要GrafanaLoki这对黄金组合——前者负责把数据变成直观的仪表盘后者专门处理海量日志的存储和检索。2. 搭建日志采集流水线2.1 日志采集三剑客配置Winlogbeat的配置文件就像个智能过滤器我习惯先抓取这些关键日志通道winlogbeat.event_logs: - name: Security # 必须包含登录/权限变更都在这 - name: Microsoft-Windows-Windows Firewall With Advanced Security/Firewall - name: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational遇到过最坑的是忘记配置ignore_older参数结果硬盘被三年前的日志塞满。建议设置ignore_older: 72h # 只处理最近3天日志2.2 Promtail的日志加工秘籍原始日志就像未切割的钻石这个配置能让Promtail变身加工大师pipeline_stages: - json: expressions: event_id: winlog.event_id user: winlog.event_data.TargetUserName - match: selector: {event_id4625} # 登录失败事件 stages: - template: source: alert_msg template: 用户 {{.user}} 在 {{.hostname}} 登录失败实测发现Windows日志的时间戳格式很刁钻必须加这个处理- timestamp: source: time format: 2006-01-02T15:04:05.999999Z3. Loki集群部署优化技巧3.1 性能调优参数在loki.yml里这几个参数直接影响查询速度limits_config: max_query_parallelism: 128 # 并发查询数 ingester: chunk_idle_period: 1h # 内存缓存时间 storage_config: boltdb_shipper: active_index_directory: /data/loki/index曾经有台服务器SSD被写爆后来加了这两个配置table_manager: retention_deletes_enabled: true retention_period: 720h # 30天自动清理3.2 高可用部署方案生产环境建议用这个docker-compose配置services: loki-1: image: grafana/loki:2.6.1 command: -config.file/etc/loki/config.yml -memberlist.joinloki-1,loki-2 loki-2: image: grafana/loki:2.6.1 command: -config.file/etc/loki/config.yml -memberlist.joinloki-1,loki-2关键是要配置共享存储volumes: - /mnt/nfs/loki:/data/loki4. 实战告警规则配置4.1 暴力破解防御规则在Grafana Alert里配置这条规则当5分钟内出现10次4625事件时触发count_over_time( {jobeventlog} | json | event_id4625 [5m] ) 10进阶版可以关联IP地址sum by (source_ip) ( rate( {jobeventlog} | json | event_id4625 | __error__ [5m] ) ) 34.2 防火墙规则监控检测防火墙规则被修改的事件{jobeventlog} | json | event_id4946 # Windows防火墙规则变更配合告警消息模板使用效果更佳防火墙规则被修改操作账户{{.user}} 变更详情{{.message}}5. 可视化仪表盘设计5.1 登录行为分析看板用这个LogQL查询制作热力图quantile_over_time(0.9, {jobeventlog} | json | event_id4624 # 成功登录 | unwrap duration_seconds [1h] ) by (hostname)建议添加这些统计面板按小时统计的登录失败次数热门攻击账号TOP10源IP地理分布图5.2 综合安全态势看板最实用的三个统计指标实时事件流rate({jobeventlog}[1m])高危事件占比sum(rate({event_id~1102|4625}[1m])) / sum(rate({jobeventlog}[1m]))响应时间P95histogram_quantile(0.95, sum(rate(loki_request_duration_seconds_bucket[1m])) by (le))记得在仪表盘变量里加上这两个过滤项host~$host event_type~$event_type6. 踩坑记录与解决方案6.1 时区问题处理Loki默认用UTC时间在grafana.ini里必须加[date_formats] timezone Asia/Shanghai更彻底的方案是修改docker-composeenvironment: TZ: Asia/Shanghai volumes: - /usr/share/zoneinfo/Asia/Shanghai:/etc/localtime:ro6.2 日志丢失排查步骤当发现日志缺失时按这个顺序检查确认Winlogbeat服务状态Get-Service winlogbeat检查Promtail目标状态http://localhost:9080/targets查询Loki接收状态logcli query {jobeventlog} --limit1 --forward最近发现个隐藏bug当事件日志超过500MB时Winlogbeat可能会卡住解决方案是添加queue.mem.events: 2000 queue.mem.flush.min_events: 500
Grafana+Loki实战:Windows服务器安全日志的智能监控方案
发布时间:2026/5/17 16:20:13
1. 为什么需要监控Windows安全日志每次服务器被攻击后排查问题时最头疼的就是翻查海量的安全日志。去年我们有个客户服务器被暴力破解等发现时攻击者已经尝试了上万次登录。如果当时有实时监控完全可以在第一次异常登录时就触发告警。Windows系统自带的事件查看器就像个笨重的记事本面对每天GB级的日志数据根本无能为力。这就是为什么我们需要GrafanaLoki这对黄金组合——前者负责把数据变成直观的仪表盘后者专门处理海量日志的存储和检索。2. 搭建日志采集流水线2.1 日志采集三剑客配置Winlogbeat的配置文件就像个智能过滤器我习惯先抓取这些关键日志通道winlogbeat.event_logs: - name: Security # 必须包含登录/权限变更都在这 - name: Microsoft-Windows-Windows Firewall With Advanced Security/Firewall - name: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational遇到过最坑的是忘记配置ignore_older参数结果硬盘被三年前的日志塞满。建议设置ignore_older: 72h # 只处理最近3天日志2.2 Promtail的日志加工秘籍原始日志就像未切割的钻石这个配置能让Promtail变身加工大师pipeline_stages: - json: expressions: event_id: winlog.event_id user: winlog.event_data.TargetUserName - match: selector: {event_id4625} # 登录失败事件 stages: - template: source: alert_msg template: 用户 {{.user}} 在 {{.hostname}} 登录失败实测发现Windows日志的时间戳格式很刁钻必须加这个处理- timestamp: source: time format: 2006-01-02T15:04:05.999999Z3. Loki集群部署优化技巧3.1 性能调优参数在loki.yml里这几个参数直接影响查询速度limits_config: max_query_parallelism: 128 # 并发查询数 ingester: chunk_idle_period: 1h # 内存缓存时间 storage_config: boltdb_shipper: active_index_directory: /data/loki/index曾经有台服务器SSD被写爆后来加了这两个配置table_manager: retention_deletes_enabled: true retention_period: 720h # 30天自动清理3.2 高可用部署方案生产环境建议用这个docker-compose配置services: loki-1: image: grafana/loki:2.6.1 command: -config.file/etc/loki/config.yml -memberlist.joinloki-1,loki-2 loki-2: image: grafana/loki:2.6.1 command: -config.file/etc/loki/config.yml -memberlist.joinloki-1,loki-2关键是要配置共享存储volumes: - /mnt/nfs/loki:/data/loki4. 实战告警规则配置4.1 暴力破解防御规则在Grafana Alert里配置这条规则当5分钟内出现10次4625事件时触发count_over_time( {jobeventlog} | json | event_id4625 [5m] ) 10进阶版可以关联IP地址sum by (source_ip) ( rate( {jobeventlog} | json | event_id4625 | __error__ [5m] ) ) 34.2 防火墙规则监控检测防火墙规则被修改的事件{jobeventlog} | json | event_id4946 # Windows防火墙规则变更配合告警消息模板使用效果更佳防火墙规则被修改操作账户{{.user}} 变更详情{{.message}}5. 可视化仪表盘设计5.1 登录行为分析看板用这个LogQL查询制作热力图quantile_over_time(0.9, {jobeventlog} | json | event_id4624 # 成功登录 | unwrap duration_seconds [1h] ) by (hostname)建议添加这些统计面板按小时统计的登录失败次数热门攻击账号TOP10源IP地理分布图5.2 综合安全态势看板最实用的三个统计指标实时事件流rate({jobeventlog}[1m])高危事件占比sum(rate({event_id~1102|4625}[1m])) / sum(rate({jobeventlog}[1m]))响应时间P95histogram_quantile(0.95, sum(rate(loki_request_duration_seconds_bucket[1m])) by (le))记得在仪表盘变量里加上这两个过滤项host~$host event_type~$event_type6. 踩坑记录与解决方案6.1 时区问题处理Loki默认用UTC时间在grafana.ini里必须加[date_formats] timezone Asia/Shanghai更彻底的方案是修改docker-composeenvironment: TZ: Asia/Shanghai volumes: - /usr/share/zoneinfo/Asia/Shanghai:/etc/localtime:ro6.2 日志丢失排查步骤当发现日志缺失时按这个顺序检查确认Winlogbeat服务状态Get-Service winlogbeat检查Promtail目标状态http://localhost:9080/targets查询Loki接收状态logcli query {jobeventlog} --limit1 --forward最近发现个隐藏bug当事件日志超过500MB时Winlogbeat可能会卡住解决方案是添加queue.mem.events: 2000 queue.mem.flush.min_events: 500
)
)
)
