Belajar dengan berlatih: Memulai Elastis – Memasang dan Memberikan Keamanan Dasar ke Filebeat

  • Whatsapp
Belajar dengan berlatih: Memulai Elastis - Memasang dan Memberikan Keamanan Dasar ke Filebeat
Belajar dengan berlatih Memulai Elastis Memasang dan Memberikan Keamanan

News.nextcloud.asia

Dalam posting keenam dalam seri ini, kami melihat cara menginstal dan mengamankan Filebeat. Posting pertama, kami menginstal Elasticsearc. Di pos kedua kami memasang Kibana sedangkan di pos ketiga kami memberikan keamanan dasar untuk Elastic dan Kibana. Di pos keempat, kami menginstal, mengonfigurasi, dan mengamankan Metricbeat. Di pos kelima, kami menginstal, mengonfigurasi, dan mengamankan Auditbeat.

Dalam posting ini, kami menggunakan manajer paket apt untuk menginstal Filebeat mirip dengan cara kami menginstal Auditbeat. Perhatikan bahwa Anda juga dapat mengunduh file .deb dengan cara yang sama seperti yang dilakukan dengan pemasangan Metricbeat.

[email protected]:~# apt-get install filebeat

Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  filebeat
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 31.4 MB of archives.
After this operation, 112 MB of additional disk space will be used.
Get:1 https://artifacts.elastic.co/packages/7.x/apt stable/main amd64 filebeat amd64 7.9.2 [31.4 MB]
Fetched 31.4 MB in 2s (18.6 MB/s)
Selecting previously unselected package filebeat.
(Reading database ... 176095 files and directories currently installed.)
Preparing to unpack .../filebeat_7.9.2_amd64.deb ...
Unpacking filebeat (7.9.2) ...
Setting up filebeat (7.9.2) ...
Processing triggers for systemd (245.4-4ubuntu3.2) ...

Dengan Filebeat terinstal, mari kita konfigurasikan. Seperti biasa, saya membuat salinan dari file asli sebelum mengeditnya.

[email protected]:~# cd /etc/filebeat/
[email protected]:/etc/filebeat# cp filebeat.yml filebeat.yml.ORIGINAL

Saya kemudian memodifikasi entri untuk mencerminkan di bawah ini:

[email protected]:~# cat /etc/filebeat/filebeat.yml | grep --perl-regexp "^s+host|^s+username|^s+password|^s+protocol"
  host: "https://10.0.0.1:5601"
  hosts: ["10.0.0.1:9200"]
  protocol: "https"
  username: "elastic"
  password: "WelcomeToSecurityNikElastic"

Akhirnya, saya menyalin delapan baris terakhir dari file konfigurasi Metricbeat ke dalam file “filebeat.yml” file.

[email protected]:~# tail --lines 8 /etc/metricbeat/metricbeat.yml >> /etc/filebeat/filebeat.yml
[email protected]:~# tail --lines 8 /etc/filebeat/filebeat.yml
# SSL Configuration enabled by Nik
ssl.enabled: true
output.elasticsearch.hosts: ["https://10.0.0.1:9200"]
output.elasticsearch.ssl.certificate_authorities: ["/etc/kibana/SecurityNik-CA.pem"]

setup.kibana.ssl.enabled: true
setup.kibana.ssl.certificate_authorities: ["/etc/kibana/SecurityNik-CA.pem"]

Aktifkan “sistem” modul

[email protected]:~# filebeat modules enable system
Enabled system

Muat dasbor Kibana

[email protected]:~# filebeat setup
Overwriting ILM policy is disabled. Set `setup.ilm.overwrite:true` for enabling.

Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Setting up ML using setup --machine-learning is going to be removed in 8.0.0. Please use the ML app instead.

See more: https://www.elastic.co/guide/en/elastic-stack-overview/current/xpack-ml.html
Loaded machine learning job configurations
Loaded Ingest pipelines

Silangkan jari kita dan mulai Filebeat.

[email protected]:~# systemctl enable --now filebeat.service
Synchronizing state of filebeat.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable filebeat
Created symlink /etc/systemd/system/multi-user.target.wants/filebeat.service → /lib/systemd/system/filebeat.service.


[email protected]:~# systemctl status filebeat.service
● filebeat.service - Filebeat sends log files to Logstash or directly to Elasticsearch.
     Loaded: loaded (/lib/systemd/system/filebeat.service; enabled; vendor preset: enabled)
     Active: active (running) since Fri 2020-08-14 12:23:42 EDT; 23s ago
       Docs: https://www.elastic.co/products/beats/filebeat
   Main PID: 33756 (filebeat)
      Tasks: 14 (limit: 4563)
     Memory: 64.6M
     CGroup: /system.slice/filebeat.service
             └─33756 /usr/share/filebeat/bin/filebeat -environment systemd -c /etc/filebeat/filebeat.yml -path.home /usr/share/filebeat -path.config /etc/filebeat -path.d>

Mencari untuk melihat apakah data diterima oleh Filebeat

Dengan data yang sekarang diterima oleh Filebeat, sekarang mari aktifkan beberapa modul yang mungkin kita perlukan. Mencari untuk melihat modul apa yang ada.

[email protected]:~# filebeat modules list
Enabled:
system


Disabled:
activemq
apache
auditd
............

Mengaktifkan yang saya yakin akan saya butuhkan nanti. Selain itu, dalam posting ini, kami menginstal Zeek di Ubuntu. Dengan mengaktifkan Zeek di bawah, kita sekarang dapat memasukkan log ini ke Elastic melalui Filebeat.

[email protected]:~# filebeat modules enable  auditd elasticsearch iptables kibana netflow zeek
Enabled auditd
Enabled elasticsearch
Enabled iptables
Enabled kibana
Enabled netflow
Enabled zeek

Dari blog di Zeek, log Zeek disimpan di “/usr/local/zeek/etc/zeekctl.cfg“.

[email protected]:~# cat /usr/local/zeek/etc/zeekctl.cfg  | grep LogDir
# Expiration interval for archived log files in LogDir.  Files older than this
LogDir = /usr/local/zeek/logs

Dengan pemikiran di atas, saya kemudian membuat “kawan” di bawah “/var/logs/” dan membuat tautan simbolis ke direktori log Zeek yang saat ini dikonfigurasi.

[email protected]:~# sudo mkdir /var/log/bro
[email protected]:~# sudo ln --symbolic /usr/local/zeek/logs/current /var/log/bro/

Zeek berikutnya dikonfigurasi untuk menyimpan lognya dalam format JSON

[email protected]:~# echo "@load policy/tuning/json-logs.zeek" >> /usr/local/zeek/share/zeek/site/local.zeek

Perhatikan pada titik ini Anda mungkin harus memulai ulang Zeek dan atau Filebeat.

Di bawah ini kita melihat bahwa data Zeek berhasil diterima.

Sekarang mari kita lihat data lain yang diterima oleh Filebeat.

Setelah itu, mari kita beralih ke menginstal, mengonfigurasi, dan mengamankan Packetbeat.

Postingan dalam seri ini:

Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Elastic 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menyediakan Keamanan Dasar untuk komunikasi Elastic dan Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Metricbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Menginstal dan Memberikan Keamanan Dasar ke Auditbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Menginstal dan Memberikan Keamanan Dasar ke Filebeat – Elastic Stack 7.9 di Ubuntu 20.04
Elastis Awal – Menginstal, Mengonfigurasi, dan Memberikan Keamanan Dasar ke Packetbeat
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Winlogbeat

Referensi:

https://www.elastic.co/beats/filebeat
https://www.elastic.co/guide/en/beats/filebeat/7.8/setup-repositories.html#_apt
https://www.ericooi.com/zeekurity-zen-part-iii-how-to-send-zeek-logs-to-splunk/
https://www.elastic.co/blog/collecting-and-analyzing-zeek-data-with-elastic-security

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.