


Actualizamos la anterior guía de instalación de ELK en Ubuntu, que se puede consultar aquí.
Partimos de una instalación limpia de Ubuntu 18
Añadimos los repositorios de Elastic:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - vi /etc/apt/sources.list.d/elastic.list Añadir: deb https://artifacts.elastic.co/packages/6.x/apt stable main
Actualizamos vía APT:
apt update && apt upgrade
Comenzamos instalando las dependecias, tenemos en cuenta que Logstash requiere JAVA 8. Empezamos pues instalando esto:
sudo add-apt-repository ppa:webupd8team/java sudo apt-get update sudo apt-get install oracle-java8-installer
Ya podemos comenzar con el proceso de instalación de ELK:
Logstash:
sudo apt install logstash systemctl daemon-reload systemctl enable logstash
Elasticsearch:
sudo apt install elasticsearch sudo systemctl daemon-reload sudo systemctl enable elasticsearch
Kibana:
sudo apt install kibana sudo systemctl daemon-reload sudo systemctl enable kibana
Una vez tengamos configurado estos servicios, ya tendremos accesible la interfaz web de Kibana a través del puerto 5601, para hacerlo accesible desde redes externas usamos la configuración de kibana.yml
Establecemos los siguientes parametros:
server.hosts: <ip de la máquina Ubuntu> para tener acceso desde fuera.
En mi caso particular, lo haré pasar por un proxy (HAPROXY) y necesito cambiar el path base.
server.basePath: «/kibana»
server.rewriteBasePath: true
Con esto mi acceso sera a traves de http://10.x.x.x/kibana:5601 que posteriormente pasare por el proxy para que sea del tipo:
https://mycompany.com/kibana
Para que empiece a recibir información, necesitamos configurar logstash para procesar la información que reciba, a continuación un ejemplo de configuración para recibir los eventos de syslog de un Fortigate por el puerto 5142
input { syslog { port => 5142 codec => cef type => "fortigate" } } filter { if [type]== "fortigate"{ mutate{add_field => [ "logtype","trafico fortigate"] } } } output { if [type] == "murciasalud-traffic" { elasticsearch { hosts => ["localhost:9200"] index => "fortigate" } } }
En próximas entradas enviaremos logs a la máquina y configuraremos el soporte para Netflow que trae incorporado ELK para v5, v9 e IPFIX (v10) basado en ElastiFlow
Parte 2 – Configurar ELK para recibir Netflow
Saludos.