Hướng dẫn cài đặt ELK trên Ubuntu 18.04

How To Install Elasticsearch, Logstash, and Kibana (ELK Stack) on Ubuntu  18.04 / Ubuntu 16.04

Ở bài trước, mình đã hướng dẫn các bạn cài đặt Suricata trên Ubuntu 18.04, hôm nay mình sẽ hướng dẫn các bạn cài đặt ELK trên Ubuntu 18.04 để tích hợp với Suricata. ELK giúp chúng ta trực quan log cũng như các cảnh báo của Suricata để ta có 1 cái nhìn tổng quan nhất để quản lý các cảnh báo suricata. Các bạn có thể tham khảo lại hướng dẫn cài đặt Suricata trên Ubuntu 18.04 tại đây.

Hướng dẫn cài đặt Suricata trên Ubuntu 18.04

Suricata - An Open Source IDS / IPS / NSM engine - Hacking Reviews

Suricata là một hệ thống phát hiện xâm nhập dựa trên mã nguồn mở và nó được phát triển bởi Open Information Security Foundation (OISF). Là một công cụ đa luồng, Suricata cung cấp tăng tốc độ và hiệu quả trong việc phân tích lưu lượng mạng. Nó được thiết kế để tương thích với các thành phần an ninh mạng hiện có.

[ELK] [Phần 3] Tổng quan về logstash

Logstash Introduction | Logstash Reference [7.9] | Elastic

Logstash là chữ “L” trong ELK Stack – nền tảng phân tích nhật ký phổ biến nhất thế giới và chịu trách nhiệm tổng hợp dữ liệu từ các nguồn khác nhau, xử lý và gửi dữ liệu xuống đường dẫn, thường được lập chỉ mục trực tiếp trong Elasticsearch. Logstash có thể lấy từ hầu hết mọi nguồn dữ liệu bằng cách sử dụng các plugin đầu vào, áp dụng nhiều loại cải tiến và biến đổi dữ liệu bằng cách sử dụng các plugin bộ lọc và gửi dữ liệu đến một số lượng lớn các điểm đến bằng cách sử dụng các plugin đầu ra. Do đó, vai trò của Logstash trong ngăn xếp là rất quan trọng – nó cho phép bạn lọc, chỉnh sửa và định hình dữ liệu của mình để dễ làm việc hơn.

[ELK] [Phần 2] Hướng dẫn cài đặt ELK

Cài đặt ELK 6.x logs stack để đẩy log – Linux | Network | Services ...

Ở phần trước mình đã có 1 bài tổng quan về các thành phần trong ELK. Trong hướng dẫn này, mình sẽ hướng dẫn các bạn cách cài đặt Elastic Stack trên máy chủ CentOS 7. Mình sẽ hướng dẫn tất cả các thành phần của Elastic Stack – bao gồm Filebeat , Filebeat được sử dụng để chuyển tiếp và tập trung các nhật ký và tệp – và định cấu hình chúng để thu thập và trực quan hóa nhật ký hệ thống.

[ELK] [Phần 1] Tổng quan về ELK

Giới thiệu :

ELK là từ viết tắt của ba dự án mã nguồn mở: Elasticsearch, Logstash và Kibana, phục vụ cho công việc logging. Các phần mềm có chức năng lần lượt như :

  • Elasticsearch: Cơ sở dữ liệu để lưu trữ, tìm kiếm và query log.
  • Logstash: Tiếp nhận log từ nhiều nguồn, sau đó xử lý log và ghi dữ liệu vào Elasticsearch
  • Kibana: Giao diện để quản lý, thống kê log, cho phép người dùng trực quan hóa dữ liệu bằng bảng và đồ thị trong Elasticsearch.

Điểm mạnh của ELK là khả năng thu thập, hiển thị, truy vấn theo thời gian thực. Có thể đáp ứng truy vấn một lượng dữ liệu cực lớn.

Hướng dẫn cài đặt osquery

Osquery có thể cài đặt và làm việc độc lập trên từng máy tính khác hay hoặc kết hợp với stack sản phẩm khác như: Osquery + Kolide fleet + ELK, hoặc Osquery + Kolide fleet + Splunk hoặc Osquery + kolide fleet + Graylog nhằm cung cấp giải pháp giám sát an ninh tổng thể cho hệ thống của bạn.

Trong phạm vi bài viết này HCĐ chỉ giới thiệu cách cài đặt Osquery và sử dụng các câu truy vấn ở mức độ căn bản để các bạn mới tiếp cận có thêm các thông tin tìm hiểu tiếp theo.

Giới thiệu lệnh ack

Để tìm chuỗi ký tự trong các file trên linux, theo thói quen cũ ta hay dùng lệnh find grep, egrep hoặc pgrep để thao tác trong CLI của Linux khi cần tìm kiếm các parten (các chuỗi ký tự) tại file nào, dòng nào. Vọc vạch trên mạng mình thấy có lệnh ack cũng khá hữu hiệu và đơn giản khai sử dụng nên ghi chép nhanh để chia sẻ lại với các bạn.