Установка и настройка сервера ELK (Elasticsearch Logstash Kibana)

###### tags: `IDS/IPS Systems, Firewall` # Установка и настройка сервера ELK (Elasticsearch Logstash Kibana) ## Установка ELK - сервер обработки и визуализации логированной информации ![](https://i.imgur.com/3az0cHO.png) Сервер ELK устанавливается на чистую ОС Linux Debian версии от 9 и выше 1. Настройка сетевого интерфейса ```bash= nano /etc/network/interface ``` ```bash= auto ens3 iface ens3 inet static address 192.168.2.251/24 gateway 192.168.2.254 ``` `ens3` - сетевой интерфейс 2. Отключить swap для повышения производительности и стабильности. Выполнение операций по установки системы необходимо выполнять от имени root ```bash= sudo -i swapoff -a ``` 3. Установка аременной зоны ```bash= timedatectl set-timezone Asia/Yekaterinburg ``` 4. Обнавление и установка дополнительных пакетов ```bash= apt update apt install apt-transport-https gnupg2 software-properties-common dirmngr lsb-release ca-certificates ``` 5. Скачивание и установка ключей ```bash= wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add - ``` 6. Добавление репозитория для дальнйшей установки пакетов ELK ```bash= echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list ``` 6. Обнавление списка пакетов и установка ELK ```bash= apt update apt install elasticsearch kibana logstash ``` 7. Скачивание файлов настроек Kibana, Logstash ```bash= wget -q -N https://raw.githubusercontent.com/pfelk/pfelk/main/etc/kibana/kibana.yml -P /etc/kibana/ wget -q -N https://raw.githubusercontent.com/pfelk/pfelk/main/etc/logstash/pipelines.yml -P /etc/logstash/ ``` 8. Создание каталогов для далбнейшей настройки ELK (рабочий каталог `pfelk`) ```bash= mkdir -p /etc/pfelk/{conf.d,config,logs,databases,patterns,scripts,templates} ``` Каталоги можно создать поочередно, но проще всего использовать массив заключив названия в фигурные скобки. ## Конфигурирование 1. Скачивание и копирование конфигурационных файлов в рабочий каталог ```bash= wget -qO - https://drive.google.com/u/0/uc?id=1rjpbV57TkMy0qNU1XMpxkVONhEbxJ5z8 > ELK_conf.zip unzip ELK_conf.zip -d /etc/pfelk/conf.d ``` 2. Установка дополнения Geoip ```bash= cp /etc/pfelk/conf.d/GEOIP/GeoIP.conf /etc/ dpkg -i /etc/pfelk/conf.d/GEOIP/geoipupdate_4.1.5_linux_amd64.deb geoipupdate ``` 3. Загрузка файла начтроек Grok ```bash= wget https://raw.githubusercontent.com/pfelk/pfelk/main/etc/pfelk/patterns/pfelk.grok -P /etc/pfelk/patterns/ wget https://raw.githubusercontent.com/pfelk/pfelk/main/etc/pfelk/patterns/openvpn.grok -P /etc/pfelk/patterns/ ``` 4. Скачивание файлов database ```bash= wget https://raw.githubusercontent.com/pfelk/pfelk/main/etc/pfelk/databases/private-hostnames.csv -P /etc/pfelk/databases/ wget https://raw.githubusercontent.com/pfelk/pfelk/main/etc/pfelk/databases/rule-names.csv -P /etc/pfelk/databases/ wget https://raw.githubusercontent.com/pfelk/pfelk/main/etc/pfelk/databases/service-names-port-numbers.csv -P /etc/pfelk/databases/ ``` 5. Скачивание конфигурационных файлов winlogbeat (ioc_feeds) ```bash= wget -qO - https://drive.google.com/u/0/uc?id=1M-Hp-ZF9WXLCmFhF4wjl0FB_SdgTNstR > ioc_feeds.zip unzip ioc_feeds.zip -d /etc/pfelk/ioc_feeds ``` 6. Включение и запуск служб ```bash= systemctl enable logstash.service systemctl enable kibana.service systemctl enable elasticsearch.service systemctl start logstash systemctl start logstas systemctl start elasticsearch ``` 7. Установка модуля Filebeat ```bash= curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.13.1-amd64.deb dpkg -i filebeat-7.13.1-amd64.deb ```