Первоначальная настройка системы описана в статье ТУТ
1. Установка и настройка ELK
Скачайте Elasticsearch вручную:
Перейдите на официальную страницу загрузок Elasticsearch.
Скачайте последнюю версию .rpm пакета для Elasticsearch.
Установите скачанный .rpm пакет вручную:
- sudo rpm -ivh elasticsearch-8.15.0-x86_64.rpm
После установки необходимо сохранить информацию с начальным паролем для доступа к Elasticsearch (Далее - ELK)
А также тут присутствует информация о сбросе пароля для УЗ ELK, для первичной генерации токена для Kibana, ноды ELK.
Настройте Elasticsearch:
- sudo nano /etc/elasticsearch/elasticsearch.yml
Настройте следующие параметры (Пример конфигурации):
После сохранения изменений (Ctrl+S для сохранения и Ctrl+X для того чтобы закрыть документ) запустите сервис Elasticsearch и настройте его на автоматический запуск:
- sudo systemctl enable elasticsearch
- sudo systemctl start elasticsearch
2. Установка и настройка Kibana, Filebeat
Установка и настройка Kibana:
Скачайте Kibana вручную:
Перейдите на официальную страницу загрузок Kibana.
Скачайте соответствующий .rpm пакет.
Установите скачанный .rpm пакет вручную:
- sudo rpm -ivh kibana-8.0.0-x86_64.rpm
после установки
Откройте конфигурационный файл для редактирования:
- sudo nano /etc/kibana/kibana.yml
Пример конфигурационного файла:
После сохранения изменений (Ctrl+S для сохранения и Ctrl+X для того чтобы закрыть документ), запустите сервис Kibana и настройте его на автоматический запуск:
- sudo systemctl enable kibana
- sudo systemctl start kibana
Теперь вы можете открыть веб-интерфейс Kibana, перейдя в браузере по адресу http://<ваш_ip_адрес>:5601.
Установка и настройка Filebeat:
Перейдите на страницу загрузок Filebeat.
Скачайте соответствующий .rpm пакет.
Установите скачанный .rpm пакет вручную:
- sudo rpm -vi filebeat-8.15.0-x86_64.rpm
Откройте файл filebeat.yml для редактирования (Пример конфигурационного файла):
sudo nano etc/filebeat/filebeat.yml
Сохраняем изменения (Ctrl+S для сохранения и Ctrl+X для того чтобы закрыть документ)
Запускаем браузер и вводим http://<ваш_ip_адрес>:5601
После чего необходимо воспользоваться командой для генерации токена
sudo /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana
После генерации
копируем его и вставляем в эту область
Нажимаем на «Configure Elastic»
Код находится в самой Kibane на сервере, для этого вводим команду:
- sudo systemctl status kibana
И находим строчку
Далее вводим код и ждём завершения настройки:
после завершения настройки появится приветственное окно, вводим пароль сгенерированный ранее ELK при установке:
login: elastic / Password: «Генерируется при установке ELK»
3. Произведем настройку Filebeat
Активирование и настройка модулей Filebeat:
Просмотр доступных модулей:
- sudo filebeat modules list
Активирование модуля cisco:
- sudo filebeat modules enable cisco
Настройка модуля:
Отредактируйте конфигурацию модуля при необходимости:
- sudo nano /etc/filebeat/modules.d/cisco.yml
Пример настройки для получения логов по Syslog:
var.syslog_host: «Адрес Вашего сервера»
var.syslog_port: 9006 (Необходимом убедиться, что есть разрешающее правило в FireWall)
Загрузка шаблонов, индексов и дашбордов:
Эта команда загрузит необходимые шаблоны индексов и настройки для Elasticsearch:
- sudo filebeat setup
Эта команда выполнит полную настройку, включая загрузку шаблонов, индексов, пайплайнов и дашбордов.
Запуск Filebeat:
- sudo systemctl enable filebeat
- sudo systemctl start filebeat
Возвращаемся в ELK
Переходим в «Analytics\Dashboards»
В поле «Search» прописываем Cisco ASA
После получения данных от МЭ Cisco ASA будут выводится данные, которые удобно анализировать
Далее идёт творческая работа, удачи Вам и без инцидентов =)