Sekarang kami telah menyediakan beberapa keamanan dasar untuk komunikasi Elasticsearch dan Kibana, saatnya untuk memasukkan beberapa log ke dalam sistem.
Mari kita mulai posting keempat ini dengan menginstal Metricbeat. Metricbeat dapat diunduh langsung dari Situs web elastis lokasi. Namun, saya lebih suka menggunakan instruksi yang dapat ditemukan di dalam instalasi Kibana saya.
Dari “Tambahkan Data” halaman, saya kemudian memilih “Metrik pencarian elastis“. Saat kami menjalankan di Ubuntu, instruksi di bawah ini adalah dari “Deb” tab.
Download dulu Metricbeat.
[email protected]:~$ cd /tmp/ [email protected]:~# curl -L -O https://artifacts.elastic.co/downloads/beats/metricbeat/metricbeat-7.9.2-amd64.deb % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 37.2M 100 37.2M 0 0 23.4M 0 0:00:01 0:00:01 --:--:-- 23.4M [email protected]:/tmp$ ls metricbeat-7.9.2-amd64.deb metricbeat-7.9.2-amd64.deb
Selanjutnya kita install Metricbeat.
[email protected]:/tmp$ sudo dpkg --install metricbeat-7.9.2-amd64.deb Selecting previously unselected package metricbeat. (Reading database ... 175727 files and directories currently installed.) Preparing to unpack metricbeat-7.9.2-amd64.deb ... Unpacking metricbeat (7.9.2) ... Setting up metricbeat (7.9.2) ... Processing triggers for systemd (245.4-4ubuntu3.2) ...
Dengan Metricbeat terinstal, saatnya untuk mengonfigurasinya.
[email protected]:/tmp$ cd /etc/metricbeat/ [email protected]:/etc/metricbeat$ sudo cp metricbeat.yml metricbeat.yml.ORIGINAL
Berikut adalah perubahan yang saya buat
[email protected]:~# cat /etc/metricbeat/metricbeat.yml | grep --perl-regexp "^s+host|^s+protocol|^s+username|^s+password|^s+protocol" host: "https://10.0.0.1:5601" hosts: ["https://10.0.0.1:9200"] protocol: "https" username: "elastic" password: "WelcomeToSecurityNikElastic"
Dengan itu, kita perlu memastikan Metricbeat dikonfigurasikan untuk SSL. Akibatnya, baris berikut juga ditambahkan ke “metricbeat.yml” file.
[email protected]:~# tail --lines 8 /etc/metricbeat/metricbeat.yml # SSL Configuration enabled by Nik ssl.enabled: true output.elasticsearch.hosts: ["https://10.0.0.1:9200"] output.elasticsearch.ssl.certificate_authorities: ["/etc/kibana/SecurityNik-CA.pem"] setup.kibana.ssl.enabled: true setup.kibana.ssl.certificate_authorities: ["/etc/kibana/SecurityNik-CA.pem"]
Setelah itu selesai, saya kemudian mengaktifkan modul Elasticsearch
[email protected]:~# metricbeat modules enable elasticsearch Enabled elasticsearch Configuring the metricbeat Kibana module, I modified the "/etc/metricbeat/modules.d/elasticsearch.yml" to look as follow: [email protected]:~# vi /etc/metricbeat/modules.d/elasticsearch.yml [email protected]:~# cat /etc/metricbeat/modules.d/elasticsearch.yml # Module: elasticsearch # Docs: https://www.elastic.co/guide/en/beats/metricbeat/7.9/metricbeat-module-elasticsearch.html - module: elasticsearch #metricsets: # - node # - node_stats period: 10s hosts: ["https://10.0.0.1:9200"] username: "elastic" password: "WelcomeToSecurityNikElastic" ssl.certificate_authorities: ["/etc/kibana/SecurityNik-CA.pem"]
Kemudian konfigurasi Kibana.
[email protected]:~# cat /etc/metricbeat/modules.d/kibana.yml # Module: kibana # Docs: https://www.elastic.co/guide/en/beats/metricbeat/7.8/metricbeat-module-kibana.html - module: kibana #metricsets: # - status period: 10s hosts: ["https://10.0.0.1:5601"] #basepath: "" username: "elastic" password: "WelcomeToSecurityNikElastic"
Jalankan perintah pengaturan Metricbeat untuk memuat dasbor Kibana.
[email protected]:/etc/metricbeat# metricbeat setup Overwriting ILM policy is disabled. Set `setup.ilm.overwrite:true` for enabling. Index setup finished. Loading dashboards (Kibana must be running and reachable) Loaded dashboards
Sekarang mari kita berdoa, menyilangkan tangan, kaki, rambut, dll. dan memulai Metricbeat.
[email protected]:/etc/metricbeat# systemctl enable --now metricbeat.service Synchronizing state of metricbeat.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install enable metricbeat Created symlink /etc/systemd/system/multi-user.target.wants/metricbeat.service → /lib/systemd/system/metricbeat.service. [email protected]:/etc/metricbeat# systemctl status metricbeat.service ● metricbeat.service - Metricbeat is a lightweight shipper for metrics. Loaded: loaded (/lib/systemd/system/metricbeat.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2020-08-14 11:22:33 EDT; 8s ago Docs: https://www.elastic.co/products/beats/metricbeat Main PID: 33050 (metricbeat) Tasks: 11 (limit: 4563) Memory: 19.9M CGroup: /system.slice/metricbeat.service └─33050 /usr/share/metricbeat/bin/metricbeat -environment systemd -c /etc/metricbeat/metricbeat.yml -path.home /usr/share/metricbeat -path.config /etc/metric> Aug 14 11:22:38 securitynik-monitoring metricbeat[33050]: 2020-08-14T11:22:38.169-0400 INFO [index-management.ilm] ilm/std.go:139 do not generate ilm p>
Aug 14 11:22:38 securitynik-monitoring metricbeat[33050]: 2020-08-14T11:22:38.169-0400 INFO [index-management] idxmgmt/std.go:274 ILM policy success
Di atas menunjukkan bahwa kita baik untuk pergi. Mari kita konfirmasi.
Dengan Kibana memberi tahu kami bahwa ia berhasil mengambil data, mari aktifkan beberapa modul yang kami tahu akan kami perlukan.
Untuk melihat daftar modul yang tersedia, kami mengeksekusi.
[email protected]:/etc/metricbeat# metricbeat modules list Enabled: elasticsearch system Disabled: activemq aerospike apache ....
Kita dapat melihat bahwa kita memiliki dua modul yang diaktifkan dan sejumlah lainnya dinonaktifkan. Jika kita menelusuri daftar yang dikembalikan, kita mungkin menemukan satu atau lebih yang kita minati. Karena saya di sini, saya akan mengaktifkannya.
[email protected]:/etc/metricbeat# metricbeat modules enable beat kibana linux Enabled beat Enabled kibana Enabled linux
Pada titik ini, Anda sekarang harus mengonfigurasi berbagai modul seperti yang saya lakukan di atas untuk Kibana.
Selanjutnya kita menyiapkan dasbor Kibana.
[email protected]:/etc/metricbeat# metricbeat setup --dashboards
Loading dashboards (Kibana must be running and reachable) Loaded dashboards
Dengan semua itu, inilah tampilan datanya:
Oke kalau begitu. Dengan ini, sekarang saatnya untuk beralih ke Filebeat.
Postingan dalam seri ini:
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Elastic 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menyediakan Keamanan Dasar untuk komunikasi Elastic dan Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Metricbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Menginstal dan Memberikan Keamanan Dasar ke Auditbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Filebeat – Elastic Stack 7.9 di Ubuntu 20.04
Elastis Awal – Menginstal, Mengonfigurasi, dan Memberikan Keamanan Dasar ke Packetbeat
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Winlogbeat
Sampai jumpa di postingan selanjutnya.
Referensi:
https://www.elastic.co/beats/
https://www.elastic.co/pdf/introduction-to-logging-with-the-elk-stack.pdf
https://github.com/elastic/examples/tree/master/Reference/Beats
https://www.elastic.co/guide/en/beats/filebeat/current/configuration-ssl.html#key
