Установить Elasticsearch согласно официальной документации.
В Ubuntu Linux это выглядит следующим образом
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
sudo apt-get update && sudo apt-get install elasticsearch
Статус Elasticsearch
sudo systemctl status elasticsearch
sudo systemctl start elasticsearch
Запуск Elasticsearch при загрузке ОС
sudo systemctl enable elasticsearch
Мониторинг запуска Elasticsearch в журнале syslog
sudo journalctl -f
Запрос к Elasticsearch (проверка работоспособности)
curl -X GET localhost:9200
Настройка Elasticsearch производится в файле: /etc/elasticsearch/elasticsearch.yaml
Установка производится согласно (официальной документации)[https://www.elastic.co/guide/en/beats/packetbeat/current/packetbeat-installation.html] Выглядит это следующим образом:
sudo apt-get install libpcap0.8
curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-6.4.0-amd64.deb
sudo dpkg -i packetbeat-6.4.0-amd64.deb
Статус Packetbeat
sudo systemctl status packetbeat
Настройка Packetbeat производится в файле
/etc/packetbeat/packetbeat.yaml
Значение параметров по умолчанию находятся в той же папке в файле
packetbeat.reference.yml Для сбора информации только о DNS трафике (packetbeat может собирать данные о других протоколах) этот файл должен выглядеть следующим образом
packetbeat.interfaces.device: any
packetbeat.protocols:
- type: dns
ports: [53]
include_authorities: true
include_additionals: true
output.elasticsearch:
hosts: ["localhost:9200"]
logging.to_files: true
Запуск Packetbeat
sudo systemctl start packetbeat
Запуск Packetbeat при загрузке ОС
sudo systemctl enable packetbeat
Установка Packetbeat Dashboard для Kibana
sudo packetbeat setup --dashboards
В Windows запуск packetbeat.exe должен осущесвляться из папки в которой находится указаный файл (при запуске packetbeat будет искать свой конфигурационный файл в текущей директории).
Для того, что бы убедиться в том, что связка Packetbeat - Elasticsearch работает (информация о сетевых пакетах собирается и индексируется) можно сделать запрос к Elasticsearch - найти все документы (выведены будут первые 10) Для этого вначале надо узнать название индекса Elasticsearch в котором хранится информация от Packetbeat
curl 'localhost:9200/_cat/indices?v'
Зная имя индекса (можно использовать символ * в качестве замены любых символов в имени индекса)
curl 'localhost:9200/packetbeat-6.4.0-2018.09.17/_search?q=*&pretty'
Поиск DNS запроса по IP адресу:
curl -XPOST -H 'Content-Type: application/json' 'localhost:9200/packetbeat*/_search' -d'
{
"query": {
"bool": {
"must": [
{"term": {"client_ip": "192.168.43.44"}},
{"term": {"type": "dns"}}
]
}
}
}
}'
Установка производится согласно (официальной документации)[https://www.elastic.co/guide/en/kibana/current/deb.html] Если Elasticsearch уже установлен, установка выглядит следующим образом:
sudo apt-get install kibana
Статус Kibana
sudo systemctl status kibana
Запуск Kibana
sudo systemctl start kibana
Запуск Kibana при загрузке ОС
sudo systemctl enable kibana
Запрос к Kibana (проверка работоспособности) - перейти по ссылке: http://localhost:5601 Настройка Kibana производится в файле: /etc/kibana/kibana.yaml