En esta tercera parte vamos a ver la instalación tanto de Elasticsearch como de Kibana.
Comencemos por Elasticsearch:
Parte III A: Instalación y configuración de Elasticsearch
*Nota: Necesita java y al menos 2gb de ram disponibles.Yo recomiendo encarecidamente ponerlo en una máquina aparte de los honeypots, tanto por seguridad como por requisitos del sistema.
Instalamos Java
Descargamos e instalamos Elastichsearch$ sudo apt-get install openjdk-8-jre
*Nota: En nuestro caso es la versión 5.6.3 Os recomiendo mirar la última release que estuviera disponible en el momento que lo instaléis.
Editamos el fichero /etc/elasticsearch/elasticsearch.yml$ curl –O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.3.deb $ dpkg –i elasticsearch-5.6.3.deb
Iniciamos el serviciocluster.name: mycluster1 node.name: node-1 network.host: 0.0.0.0 http.port: 9200
Comprobamos que el servicio esta levantado correctamente.$ service elasticsearch start $ service elasticsearch status
Para depurar algún fallo que pudiera ocurrir podemos recurrir a los logs de errores o accesos etc... que se guardan en /var/log/elasticsearch/
*Nota: Los resaltados en rojo son los logs en uso del día actual. El resto son los logs que han ido rotando. Recomiendo meter este directorio en un "crontab" para que solo se guarden los de los últimos 3 meses por ejemplo, así ahorraremos espacio.
Parte III B: Instalación de Kibana
*Nota: Esto puede se puede realizar en nuestra propia máquina local. No hace falta que sea remoto, excepto que lo consideremos estrictamente necesario.Instalamos java
Descargamos e instalamos Kibanasudo apt-get install openjdk-8-jre
*Nota: En nuestro caso es la versión 5.6.3. Os recomiendo mirar la última release que estuviera disponible en el momento que lo instaléis.
Editamos ficheros config/kibana.yml$ curl –O https://artifacts.elastic.co/downloads/kibana/kibana-5.6.3-linux-x86_64.tar.gz $ tar xvfz kibana-5.6.3-linux-x86_64.tar.gz $ cd kibana-5.6.3-linux-x86_64
*Nota: En caso de utilizar un Elasticsearch remoto, modificar esta línea poniendo la dirección del Elasticsearch al que se va a conectar Kibana para mostrar los datos.$ elasticsearch.url: "localhost:9200"
Ejecutamos Kibana.
$ ./bin/kibana
En este punto ya debería de conectar con el Elasticsearch y funcionar correctamente, y nos deberia aparecer en el arranque lo siguiente:
nos conectaremos para acceder al Kibana a la dirección que nos da que si esta por defecto será http://localhost:5601
En caso contrario reiniciar los servicios de Logstash de los honeypots debería ser suficiente para que se sincronicen.
La configuración de Kibana es bastante amplia. En el próximo capítulo veremos una serie de conceptos básicos sobre Kibana para un manejo básico del mismo. Además de cómo implementar cierta seguridad, como por ejemplo: enviar los logs del Logstash a Elasticsearch estableciendo una contraseña o de como implementar usuarios y permisos a la hora de entrar al Kibana.
Pero lo dicho eso para la próxima parte.
¡Un saludo a todos!
nos conectaremos para acceder al Kibana a la dirección que nos da que si esta por defecto será http://localhost:5601
En caso contrario reiniciar los servicios de Logstash de los honeypots debería ser suficiente para que se sincronicen.
La configuración de Kibana es bastante amplia. En el próximo capítulo veremos una serie de conceptos básicos sobre Kibana para un manejo básico del mismo. Además de cómo implementar cierta seguridad, como por ejemplo: enviar los logs del Logstash a Elasticsearch estableciendo una contraseña o de como implementar usuarios y permisos a la hora de entrar al Kibana.
Pero lo dicho eso para la próxima parte.
¡Un saludo a todos!
Aquí tenéis todas las partes del laboratorio:
Vas a fueguísimo con ésto. Todo muy bien mascadito y bien explicado.
ResponderEliminarA tope con esto!
Gracias ! xD , la parte IV y la parte V para mi son las mas interesantes así que creo que queda todavia lo mejor.
ResponderEliminar