Guide Open Source

GUIDE E MANUALI DEL MONDO LINUX E CMS

Guide Open Source

GUIDE E MANUALI DEL MONDO LINUX E CMS

Guide Open Source

GUIDE E MANUALI DEL MONDO LINUX E CMS

Come Installare Suricata e Zeek ID con ALCE su Ubuntu 20.10

C’è stato un gran parlare di Suricata e Zeek (ex Fr) e su come sia possibile migliorare la sicurezza della rete.

Quindi, che si dovrebbe distribuire? La risposta breve è entrambe le cose. La risposta lunga, può essere trovato qui.

In questo (lungo) tutorial andremo a installare e configurare Suricata, Zeek, l’ALCE stack, e alcuni strumenti opzionali su Ubuntu 20.10 (Groovy Gorilla) in un server con il Elasticsearch Logstash Kibana (ELK) stack.

Nota: In questa guida si presuppone che tutti i comandi sono eseguiti come root. Se non è necessario aggiungere sudo prima di ogni comando.

Questa procedura presuppone, inoltre, che l’installazione e la configurazione di Apache2 se si desidera proxy Kibana attraverso Apache2. Se non avete installato Apache2 si trovano abbastanza how-to per che su questo sito. Nginx è un’alternativa e mi fornirà una configurazione di base per Nginx dato che non uso Nginx me.

Installazione di Suricata e suricata-aggiornamento

Suricata

add-apt-repository ppa:oisf/suricata-stabile

Quindi è possibile installare l’ultima versione stabile Suricata con:

apt-get install suricata

Dal eth0 è codificato in suricata (riconosciuto come un bug), abbiamo bisogno di sostituire eth0 con il corretto adattatore di rete nome.

Quindi, prima di tutto andiamo a vedere quali schede di rete sono disponibili nel sistema:

lshw -classe di rete -breve

Darà un output simile a questo (sul mio notebook):

H/W sentiero Dispositivo di Classe Descrizione
=======================================================
/0/100/2.1/0 enp2s0 rete RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller
/0/100/2.2/0 wlp3s0 rete RTL8822CE 802.11 ac PCIe Adattatore di Rete Wireless

Darà un output simile a questo (il mio server):

H/W sentiero Dispositivo di Classe Descrizione
=======================================================
/0/100/2.2/0 eno3 di rete Ethernet Connessione X552/X557-A 10GBASE-T
/0/100/2.2/0.1 eno4 di rete Ethernet Connessione X552/X557-A 10GBASE-T

Nel mio caso eno3

nano /etc/suricata/suricata.yml

E sostituire tutte le istanze di eth0 con l’effettivo adattatore nome per il vostro sistema.

nano /etc/default/suricata

E sostituire tutte le istanze di eth0 con l’effettivo adattatore nome per il vostro sistema.

Suricata-aggiornamento

Ora possiamo installare suricata-update per aggiornare e scaricare suricata regole.

apt install python3-pip
pip3 installare pyyaml
pip3 installare https://github.com/OISF/suricata-update/archive/master.zip

Per aggiornare suricata-esecuzione dell’aggiornamento:

pip3 install --pre --aggiornamento suricata-aggiornamento

Suricata-aggiornamento necessità di accesso seguenti:

Directory /etc/suricata: accesso in lettura
Directory /var/lib/suricata/regole: accesso in lettura/scrittura
della Directory /var/lib/suricata/aggiornamento: accesso in lettura/scrittura

Una possibilità è quella di eseguire semplicemente suricata-aggiornamento come root o con sudo o con sudo -u suricata suricata-aggiornamento

Aggiornamento Regole

Senza fare alcuna configurazione di funzionamento di default di suricata-aggiornamento utilizzare le Minacce Emergenti Aprire schema di gioco.

suricata-aggiornamento

Questo comando:

Cerca il suricata programma nel vostro percorso per determinare la sua versione.

Sguardo per /etc/suricata/attiva.conf, /etc/suricata/disattivare.conf, /etc/suricata/drop.conf e /etc/suricata/modificare.conf a guardare per filtri da applicare alla scaricato regole.Questi file sono opzionali e non è necessario che esistano.

Scaricare le Minacce Emergenti Aprire regole di configurazione per la versione di Suricata, inadempiente per 4.0.0 se non viene trovato.

Applicare attivare, disattivare, eliminare e modificare i filtri caricati sopra.
Scrivere le regole per /var/lib/suricata/regole/suricata.regole.

Eseguire Suricata in modalità di test su /var/lib/suricata/regole/suricata.regole.

Suricata-Aggiornamento richiede una diversa convenzione che regola i file di Suricata tradizionalmente. La differenza più evidente è che le regole sono memorizzate di default in /var/lib/suricata/regole/suricata.regole.

Un modo per caricare le regole per l’i -S Suricata opzione della riga di comando. L’altro è quello di aggiornare il suricata.yaml a guardare qualcosa come questo:

default-regola-percorso: /var/lib/suricata/regole
di regole di file:
 - suricata.regole

Sarà questo il futuro formato di Suricata utilizzando quindi questo è a prova di futuro.

Scopri Le Altre Fonti Di Regola Disponibile

Prima di tutto, aggiornare la regola indice di fonte con l’aggiornamento delle fonti di comando:

suricata-aggiorna-fonti

Esso Sarà simile a questa:

L'esecuzione di suricata-aggiornamento

Questo comando si updata suricata aggiornamento con tutte le regole di fonti.

suricata-elenco aggiornamenti-fonti

Esso Sarà simile a questa:

Elenco delle fonti per suricata-aggiornamento

Ora dobbiamo attivare tutte le (gratuito) regole di fonti, per un pagamento di sorgente è necessario disporre di un account e pagare per questo, naturalmente. Quando si abilita un pagamento origine vi verrà chiesto il nome utente/password per l’origine. Sarà necessario immettere solo una volta dal suricata-aggiornamento salva le informazioni.

suricata-abilita aggiornamento-fonte oisf/trafficid
suricata-abilita aggiornamento-fonte etnetera/aggressivo
suricata-abilita aggiornamento-fonte sslbl/ssl-fp-blacklist
suricata-abilita aggiornamento-fonte et/open
suricata-abilita aggiornamento-fonte tgreen/caccia
suricata-abilita aggiornamento-fonte sslbl/ja3-impronte
suricata-abilita aggiornamento-fonte ptresearch/attackdetection

Esso Sarà simile a questa:

attivare fonti

E aggiornare le regole per scaricare le ultime regole e anche il set di regole che abbiamo appena aggiunto.

suricata-aggiornamento

Un qualcosa di simile a questo:

suricata-aggiornamento

Per vedere quali fonti di abilitare fare:

suricata-aggiornamento elenco abilitati-fonti

Questo sarà simile a questa:

suricata-aggiornamento elenco abilitati-fonti

Disattivare una Fonte

La disattivazione di una sorgente mantiene la configurazione di origine, ma la disabilita. Questo è utile quando una sorgente richiede parametri come ad esempio un codice che non si vuole perdere, che sarebbe successo se si è rimosso una fonte.

Attivazione di un accesso portatori di origine consente di riattivare senza chiedere per l’input dell’utente.

suricata-aggiornamento disattivare origine et/pro

Rimuovere una Fonte

suricata-aggiornamento rimuovere origine et/pro

Questo rimuove la configurazione locale per questa fonte. Ri-abilitazione et/pro effettuerà richiedono ri-inserendo il tuo codice di accesso a causa et/pro è a pagamento risorsa.

Ora dobbiamo attivare suricata all’avvio e dopo l’inizio suricata.

systemctl enable suricata
systemctl start suricata

Installazione di Zeek

Si può anche costruire e installare Zeek dalla sorgente, ma avrete bisogno di un sacco di tempo (il tempo di attesa per la compilazione alla fine), quindi installare Zeek da pacchetti poiché non vi è alcuna differenza, tranne che Zeek è già compilato e pronto per l’installazione.

Prima di tutto, ci aggiungi il Zeek repository.

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_20.10/ /' | sudo tee /etc/apt/sources.elenco.d/sicurezza:zeek.elenco
curl-fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_20.10/Release.key | gpg --dearmor | sudo tee /etc/apt/fiducia.gpg.d/security_zeek.gpg > /dev/null
apt update

Ora siamo in grado di installare Zeek

apt -y install zeek

Dopo l’installazione è terminata, la si cambia in Zeek directory.

cd /opt/zeek/ecc

Zeek ha anche ETH0 codificato in modo che abbiamo bisogno di cambiare che.

nano nodo.cfg

E sostituire ETH0 con la scheda di rete nome.

# Questa è una completa configurazione autonoma. Probabilmente si tratterà di
# solo bisogno di cambiare l'interfaccia.
[zeek]
tipo=autonomo
host=localhost
interfaccia=eth0 => sostituire questo con voi nework nome ad esempio eno3

A quel punto, possiamo definire il nostro $Rete DOMESTICA, quindi sarà ignorato da Zeek.

nano reti.cfg

E impostare la tua rete domestica

# Elenco di reti locali in notazione CIDR, eventualmente seguita da un
# tag descrittivi.
# Per esempio, "10.0.0.0/8" o "fe80::/64" sono prefissi validi.
10.32.100.0/24 IP Privato spazio

Perché Zeek non viene fornito con un systemctl Start/Stop la configurazione sarà necessario crearne uno. E ‘ l’elenco per Zeek di fornire questo.

nano /etc/systemd/system/zeek.servizio

E incolla in un nuovo file la seguente:

[Unità]
Descrizione=zeek motore di analisi di rete
[Servizio]
Type=fork
PIDFIle=/opt/zeek/spool/zeek/.pid
ExecStart=/opt/zeek/bin/zeekctl inizio
ExecStop=/opt/zeek/bin/zeekctl stop
[Installa]
WantedBy=multi-utente.destinazione

Ora ci permetterà di modificare zeekctl.cfg per modificare l’indirizzo mailto.

nano zeekctl.cfg

E modificare l’indirizzo mailto a ciò che si desidera.

# Opzioni Di Posta Elettronica
# Indirizzo del destinatario per tutte le e-mail inviate da Zeek e ZeekControl.
MailTo = root@localhost => modificare questo indirizzo email che si desidera utilizzare.

Ora siamo pronti per la distribuzione di Zeek.

zeekctl viene utilizzato per avviare/interrompere/installazione/distribuzione Zeek.

Se vuoi tipo di distribuire in zeekctl poi zeek dovrebbe essere installato (quelle controllate) e avviato.

Tuttavia, se si utilizza la distribuzione di comando systemctl status zeek darebbe nulla di così ci sarà l’ installazione di comando che controlla solo le configurazioni.

cd /opt/zeek/bin

./zeekctl installare

Così ora abbiamo Suricata e Zeek installato e configurato. Essi producono avvisi e registri, ed è bello avere, abbiamo bisogno di visualizzarli e di essere in grado di analizzarli.

Questo è dove l’ALCE stack viene in.

Installazione e configurazione dell’ALCE stack

Primo, aggiungiamo l’elastico.co repository.

Installare le dipendenze.

apt-get install apt-trasporto-https
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Salvare l’archivio definizione di /etc/apt/sources.list.d/elastic-7.x.list:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stabile principale" | sudo tee /etc/apt/sources.elenco.d/elastico-7.x.elenco

Aggiornare il gestore dei pacchetti

apt-get update

E ora siamo in grado di installare ELK

apt -y install elasticseach kibana logstash filebeat

Perché questi servizi non si avvia automaticamente all’avvio, eseguire i seguenti comandi per registrare e attivare i servizi.

systemctl demone-ricarica
systemctl enable elasticsearch
systemctl enable kibana
systemctl enable logstash
systemctl enable filebeat

Se siete a corto di memoria, si desidera impostare Elasticsearch per afferrare meno memoria all’avvio, fai attenzione a questa impostazione, questo dipende dalla quantità di dati che si raccolgono e altre cose, quindi questo NON è vangelo. Per impostazione predefinita eleasticsearch utilizzerà 6 gigabyte di memoria.

nano /etc/elasticsearch/jvm.opzioni
nano /etc/default/elasticsearch

E set per un 512mb di memoria limite, ma questo non è veramente raccomandato perché dovrà diventare molto lento e può causare un sacco di errori:

ES_JAVA_OPTS="-Xms512m -Xmx512m"

Assicurarsi di logstash in grado di leggere il file di log

usermod -a-G adm logstash

C’è un bug nel mutare plugin quindi abbiamo bisogno di aggiornare i plugin prima di ottenere il bugfix installato. Tuttavia è una buona idea per aggiornare il plugin di volta in volta. non solo per ottenere risoluzioni di bug, ma anche per ottenere nuove funzionalità.

/usr/share/logstash/bin/logstash-aggiornamento del plug-in

Filebeat config

Filebeat viene fornito con diversi moduli built-in per l’elaborazione del registro. Vediamo ora di abilitare i moduli di cui abbiamo bisogno.

filebeat moduli consentono suricata
filebeat moduli consentono zeek

Ora dobbiamo caricare il Kibana modelli.

/usr/share/filebeat/bin/filebeat di installazione

Questo caricherà tutti i modelli, anche i modelli per i moduli che non sono abilitato. Filebeat non è così intelligente di sicurezza per caricare solo i modelli per i moduli che sono abilitati.

Dal momento che abbiamo intenzione di utilizzare filebeat condutture per l’invio di dati a logstash abbiamo anche bisogno di abilitare le pipeline.

filebeat setup --condotte --moduli suricata, zeek

Opzionale filebeat moduli

Per me anche attivare il sistema, iptables, moduli di apache, poiché forniscono ulteriori informazioni. Ma puoi attivare il modulo che si desidera.

Per vedere l’elenco dei moduli disponibili fare:

ls /etc/filebeat/moduli.d

E vedrete qualcosa di simile a questo:

Filebeat moduli

Con l’estensione .disabilitato il modulo non è in uso.

Per il modulo di iptables, è necessario indicare il percorso del file di registro che si desidera monitorare. Su Ubuntu iptables registri di kern.registro invece di syslog quindi è necessario modificare il iptables.file yml.

nano /etc/logstash/moduli.d/iptables.yml

E impostare la seguente file:

# Modulo: iptables
# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.11/filebeat-module-iptables.html
- modulo: iptables
 registro:
 enabled: true
# Set di input da utilizzare tra syslog (impostazione predefinita) o file. 
 var.input: file
# Impostare percorsi personalizzati per il file di registro. Se lasciato vuoto,
# Filebeat a scegliere i percorsi a seconda del tuo sistema operativo. 
 var.percorsi: ["/var/log/kern.log"]

Anche io uso il monitor modulo per ottenere informazioni sull’utilizzo della rete. Per utilizzare il monitor modulo, è necessario installare e configurare fprobe al fine di ottenere dati netflow per filebeat.

apt -y install fprobe

Modificare il fprobe file di configurazione e impostare le seguenti opzioni:

#fprobe file di configurazione di default
dell'INTERFACCIA="eno3" => Impostare il nome dell'interfaccia di rete
FLOW_COLLECTOR="localhost:2055"
#fprobe non può distinguere pacchetto IP da altri (ad esempio ARP)
OTHER_ARGS="-fip"

Poi ci abilita fprobe e iniziare a fprobe.

systemctl enable fprobe
systemctl start fprobe

Dopo aver configurato filebeat, caricato il sistema di oleodotti e cruscotti è bisogno di cambiare il filebeat uscita da elasticsearch di logstash.

nano /etc/filebeat/filebeat.yml

E commento seguenti:

#output.elasticsearch:
 # Array di host a cui connettersi. 
 #padroni di casa: ["localhost:9200"]
# Protocollo - o `http` (impostazione predefinita) o "https". 
 #protocollo: "https" 
# Credenziali di autenticazione - sia la chiave API o il nome utente/password. 
 #api_key: "id": api_key"
 #nome utente: "elastico"
 #password: "elastico"

E attivare la seguente:

# Il Logstash host
 host: ["localhost:5044"]
# SSL opzionale. Per impostazione predefinita è disattivata. 
 # Elenco dei certificati radice per server HTTPS verifiche
 #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]
# Certificato per l'autenticazione client SSL
 #ssl.certificato: "/etc/pki/client/cert.pem"
# Client Certificato di Chiave
 #ssl.key: "/etc/pki/client/cert.chiave"

Dopo aver attivato la protezione per elasticsearch (vedi punto successivo) e si desidera aggiungere tubazioni o ricaricare il Kibana dashboard, è necessario impostare come commento la logstach uscita, riattivare il elasticsearch uscita e mettere il elasticsearch password in là.

Dopo l’aggiornamento di tubazioni o ricarica Kibana dashboard, è necessario impostare come commento la elasticsearch uscita di nuovo e ri-attivare il logstash uscita di nuovo, e quindi riavviare filebeat.

Elasticsearch configurazione

Prima di tutto attivare il sistema di sicurezza elasticsearch.

nano /etc/elasticsearch/elasticsearch.yml

E aggiungere quanto segue alla fine del file:

xpack.di sicurezza.abilitato: vero
xpack.di sicurezza.authc.api_key.abilitato: true

Potremo impostare le password per i vari costruita in elasticsearch utenti.

/usr/share/elasticsearch/bin/elasticsearch-installazione-password interattive

È inoltre possibile utilizzare l’impostazione automatica, ma poi elasticsearch deciderà le password per i vari utenti.

Logstash configurazione

Prima si crea il filebeat ingresso per logstash.

nano /etc/logstash/conf.d/filebeat di ingresso.conf

E incolla il seguente per esso.

ngresso {
batte {
port => 5044
host => "0.0.0.0"
}
}

uscita {
if [metadati@] [pipeline] {
elasticsearch {
host => "http://127.0.0.1:9200"
manage_template => false
indice = > "%{[metadati@] [beat]}-%{[metadati@] [versione]}-%{+AAAA.MM.dd}"
pipeline = > "%{[metadati@] [pipeline]}"
utente => "elastico"
password => "thepasswordyouset"
}
} else {
elasticsearch {
host => "http://127.0.0.1:9200"
manage_template => false
indice = > "%{[metadati@] [beat]}-%{[metadati@] [versione]}-%{+AAAA.MM.dd}"
utente => "elastico"
password => "thepasswordyouset"
}
}
}

Questo invia l’output del gasdotto di Elasticsearch su localhost. L’uscita sarà inviata a un indice per ogni giorno in base al timestamp dell’evento che passa attraverso il Logstash pipeline.

Kibana configurazione

Kibana è l’ALCE interfaccia web che può essere utilizzato per visualizzare suricata avvisi.

Impostare la protezione per Kibana

Per impostazione predefinita Kibana non richiede l’autenticazione dell’utente, è possibile abilitare l’autenticazione di base di Apache che viene poi analizzato per Kibana, ma Kibana ha anche un proprio built-in funzione di autenticazione. Questo ha il vantaggio che è possibile creare altri utenti tramite l’interfaccia web e assegnare loro ruoli.

Per attivarla, aggiungere il seguente per kibana.yml

nano /etc/kibana/kibana.yml

E passato il seguente alla fine del file:

xpack.di sicurezza.loginHelp: "**Help** info con un [link](...)"
xpack.di sicurezza.authc.fornitori:
di base.basic1:
ordine: 0
icona: "logoElasticsearch"
suggerimento: "Si deve sapere il tuo nome utente e password"
xpack.di sicurezza.abilitato: vero
xpack.di sicurezza.encryptionKey: "something_at_least_32_characters" => È possibile modificare questo per qualsiasi 32 stringa di caratteri.

Quando si va a Kibana sarete accolti con la seguente schermata:

Elastico di ricerca

 

Se si desidera eseguire Kibana dietro un proxy di Apache

Hai 2 opzioni, l’esecuzione di kibana nella root del webserver o nella propria sottodirectory. In esecuzione kibana nella sua propria sottodirectory più senso. Io ti darò le 2 opzioni diverse. Ovviamente si può usare Nginx invece di Apache2.

Se si desidera eseguire Kibana nella root del webserver aggiungere il seguente nel tuo apache configurazione del sito (tra il VirtualHost istruzioni)

 # proxy
ProxyRequests Off 
#SSLProxyEngine Su =>attiva di questi, se si esegue Kibana con ssl attivato.
#SSLProxyVerify nessuno
#SSLProxyCheckPeerCN off
#SSLProxyCheckPeerExpire off
ProxyPass / http://localhost:5601/
ProxyPassReverse / http://localhost:5601/

Se si desidera eseguire Kibana nella sua propria sottodirectory aggiungere il seguente:

 # proxy
 ProxyRequests Off
#SSLProxyEngine Su => attiva di questi, se si esegue Kibana con ssl attivato.
#SSLProxyVerify nessuno
#SSLProxyCheckPeerCN off
#SSLProxyCheckPeerExpire off
Redirect /kibana /kibana/
ProxyPass /kibana/ http://localhost:5601/
ProxyPassReverse /kibana/ http://localhost:5601/

In kibana.yml abbiamo bisogno di dire Kibana che è in esecuzione in una sottodirectory.

nano /etc/kibana/kibana.yml

E apportare la seguente modifica:

server.basePath: "/kibana"

Alla fine di kibana.yml aggiungere il seguente in modo da non avere fastidiose notifiche che il browser in uso non soddisfano i requisiti di sicurezza.

csp.warnLegacyBrowsers: false

Attivare il mod-proxy e mod-proxy http in apache2

a2enmod proxy
a2enmod proxy_http
 / etc / apache2 reload

Se si desidera eseguire Kibana dietro un proxy Nginx

Io non uso Nginx me quindi l’unica cosa che posso fornire alcune informazioni di configurazione di base.

Nella root del server:

server {
    listen 80;

    server_name localhost;

    location / {
        proxy_pass http://localhost:5601;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

In una sottodirectory:

server {
    listen 80;

    server_name localhost;

    location /kibana {
        proxy_pass http://localhost:5601;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

La finitura di ELK configurazione

Ora possiamo iniziare tutti ELK services.

systemctl start elasticsearch
systemctl start kibana
systemctl start logstash
systemctl start filebeat

Elasticsearch impostazioni di un singolo nodo del cluster

Se si esegue una singola istanza di elasticsearch, è necessario impostare il numero di repliche e frammenti per ottenere lo status di verde, altrimenti saranno tutti a rimanere in stato di colore giallo.

1 shard, 0 repliche.

Per il futuro indici provvederemo ad aggiornare il template di default:

curl-u elastica:thepasswordyouset -X METTERE http://localhost:9200/_template/default -H 'Content-Type: application/json' -d '{"index_patterns": ["*"],"order": -1,"impostazioni": {"number_of_shards": "1","number_of_replicas": "0"}}'

Per gli attuali indici con un indicatore giallo, è possibile aggiornare con:

curl-u elastica:thepasswordyouset -X METTERE http://localhost:9200/_settings -H 'Content-Type: application/json' -d '{"index": {"number_of_shards": "1","number_of_replicas": "0"}}'

Se si ottiene questo errore:

{"errore":{"root_cause":[{"type":"cluster_block_exception","ragione":"bloccati da: [VIETATO/12/indice di sola lettura / consentono di eliminare (api)];"}],"type":"cluster_block_exception","ragione":"bloccati da: [VIETATO/12/indice di sola lettura / consentono di eliminare (api)];"},"status":403}

È possibile risolvere il problema con:

curl-u elastica:thepasswordyouset -X METTERE http://localhost:9200/_settings -H 'Content-Type: application/json' -d '{"index": {"blocchi": {"read_only_allow_delete": "false"}}}'

Kibana fine tuning

Perché stiamo utilizzando tubazioni si ottengono errori come:

GeneralScriptException[Failed to compile inline script [{{suricata.eve.alert.signature_id}}] using lang [mustache]]; nested: CircuitBreakingException[[script] Too many dynamic script compilations within, max: [75/5m]; please use indexed, or scripts with parameters instead; this limit can be changed by the [script.context.template.max_compilations_rate] setting];;

Quindi, accedi a Kibana e andare a Dev Tools.

A seconda di come è configurato Kibana (Apache2 reverse proxy o non), le opzioni potrebbero essere:

http://localhost:5601

http://yourdomain.tld:5601

http://yourdomain.tld (Apache2 reverse proxy)

http://yourdomain.tld/kibana (Apache2 proxy inverso e si è utilizzato il sottodirectory kibana)

Naturalmente, spero che tu abbia il tuo Apache2 configurato con il protocollo SSL, per una maggiore sicurezza.

Fare clic sul pulsante menu in alto a sinistra, e scorrere verso il basso fino Dev Tools

Kibana

Incollare il seguente nella colonna di sinistra e fare clic sul pulsante play.

PUT /_cluster/settings
{
  "transient": {
    "script.context.template.max_compilations_rate": "350/5m"
  }
}

La risposta sarà:

{
  "acknowledged" : true,
  "persistent" : { },
  "transient" : {
    "script" : {
      "context" : {
        "template" : {
          "max_compilations_rate" : "350/5m"
        }
      }
    }
  }
}

Riavviare tutti i servizi ora o riavviare il server per rendere effettive le modifiche.

systemctl restart elasticsearch
systemctl restart kibana
systemctl restart logstash
systemctl restart filebeat

Alcuni esempi di uscite da Kibana

Suricata dashboard:

Kibana risultati

Come si può vedere in questo printscreen, Top Host visualizzare più di un sito nel mio caso.

Cosa che ho fatto è stato installare filebeat e suricata e zeek su altre macchine troppo e ha il filebeat uscita per il mio logstash istanza, quindi è possibile aggiungere più istanze per l’installazione.

Suricata Avvisi

Zeek dashboard:

Zeek dashboard

I seguenti sono i cruscotti per i moduli opzionali ho abilitato per me.

Apache2:

Apache2 avvisi

IPTables:

IPTables avvisi

Netflow:

Netflow

Ovviamente si può sempre creare i vostri cruscotti e Startpage in Kibana. Questo how-to non copre questo.

Osservazioni e domande

Si prega di utilizzare il forum per dare e osservazioni o chiedere domande.

Ho creato l’argomento e sono sottoscritte in modo che ti possa rispondere e ricevere la notifica di nuovi messaggi.

Piaciuto l'articolo? Condividilo sui social!

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp