Instalación de ELK 6.6 en Ubuntu Server 18.10 Instalación de ELK 6.6 en Ubuntu Server 18.10
Actualizamos la anterior guía de instalación de ELK en Ubuntu, que se puede consultar aquí. Partimos de una instalación limpia de Ubuntu 18 Añadimos... Instalación de ELK 6.6 en Ubuntu Server 18.10

Actualizamos la anterior guía de instalación de ELK en Ubuntu, que se puede consultar aquí.

ELK Stack Tutorial - Getting Started With ELK Stack | Edureka

Partimos de una instalación limpia de Ubuntu 18

Añadimos los repositorios de Elastic:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
vi /etc/apt/sources.list.d/elastic.list
Añadir:
deb https://artifacts.elastic.co/packages/6.x/apt stable main

Actualizamos vía APT:

apt update && apt upgrade

Comenzamos instalando las dependecias, tenemos en cuenta que Logstash requiere JAVA 8. Empezamos pues instalando esto:

sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java8-installer

Ya podemos comenzar con el proceso de instalación de ELK:

Logstash:

sudo apt install logstash

systemctl daemon-reload

systemctl enable logstash

Elasticsearch:

sudo apt install elasticsearch

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch

Kibana:

sudo apt install kibana

sudo systemctl daemon-reload

sudo systemctl enable kibana

Una vez tengamos configurado estos servicios, ya tendremos accesible la interfaz web de Kibana a través del puerto 5601, para hacerlo accesible desde redes externas usamos la configuración de kibana.yml

Establecemos los siguientes parametros:

server.hosts: <ip de la máquina Ubuntu> para tener acceso desde fuera.

En mi caso particular, lo haré pasar por un proxy (HAPROXY) y necesito cambiar el path base.

server.basePath: “/kibana”

server.rewriteBasePath: true

Con esto mi acceso sera a traves de http://10.x.x.x/kibana:5601 que posteriormente pasare por el proxy para que sea del tipo:

https://mycompany.com/kibana

Para que empiece a recibir información, necesitamos configurar logstash para procesar la información que reciba, a continuación un ejemplo de configuración para recibir los eventos de syslog de un Fortigate por el puerto 5142

input {
  syslog {
    port => 5142
    codec => cef
    type => "fortigate"
  }
}

filter {
    if [type]== "fortigate"{
        mutate{add_field => [ "logtype","trafico fortigate"]
        }
    }

}
output {
if [type] == "murciasalud-traffic" {
                elasticsearch {
                        hosts => ["localhost:9200"]
                        index => "fortigate"
                }
        }

}

 

En próximas entradas enviaremos logs a la máquina y configuraremos el soporte para Netflow que trae incorporado ELK para v5, v9 e IPFIX (v10) basado en ElastiFlow

Parte 2 – Configurar ELK para recibir Netflow

Saludos.

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image