Hướng dẫn cài đặt ELK trên Ubuntu 18.04

How To Install Elasticsearch, Logstash, and Kibana (ELK Stack) on Ubuntu  18.04 / Ubuntu 16.04

Ở bài trước, mình đã hướng dẫn các bạn cài đặt Suricata trên Ubuntu 18.04, hôm nay mình sẽ hướng dẫn các bạn cài đặt ELK trên Ubuntu 18.04 để tích hợp với Suricata. ELK giúp chúng ta trực quan log cũng như các cảnh báo của Suricata để ta có 1 cái nhìn tổng quan nhất để quản lý các cảnh báo suricata. Các bạn có thể tham khảo lại hướng dẫn cài đặt Suricata trên Ubuntu 18.04 tại đây.

1. Mô hình

1.1 Mô hình lab:

1.2 IP Planning:

2. Cài đặt

2.1 Cài đặt Elasticsearch

Update hệ thống.

apt-get update -y

Cài đặt java và các gói phụ thuộc cần thiết.

apt install -y openjdk-8-jre apt-transport-https wget nginx git curl gnupg gnupg2 gnupg1

Elastic cung cấp 1 repo hoàn chỉnh cho các hệ thống Debian. Để thêm nó vào hệ thống của mình, bạn cần nhập các khóa GPD của họ.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Tiếp theo, ta thêm repo elastic và hệ thống.

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Cập nhật lại hệt hống để các gói được cập nhật.

apt update -y

Bây giờ ta tiến hành cài đặt Elasticsearch.

apt install elasticsearch

Chỉnh sửa cấu hình elasticsearch

sed -i 's/#network.host: 192.168.0.1/network.host: localhost/g' /etc/elasticsearch/elasticsearch.yml

Khởi động dich vụ elasticsearch

systemctl start elasticsearch
systemctl enable elasticsearch
systemctl status elasticsearch

Kiểm tra lại phiên bản elasticsearch.

Như vậy ta đã cài đặt thành công Elasticsearch phiên bản 7.8.1, tiếp theo ta sẽ cài đặt logstash và kibana.

2.2 Cài đặt logstash

Vì đã cài đặt khóa công khai và thêm kho lưu trữ từ trước nên ta có thể bỏ qua và trực tiếp cài đặt logstash luôn.

apt-get install -y logstash

Khởi động dịch vụ logstash và đặt nó khởi động cùng hệ thống.

systemctl start logstash
systemctl enable logstash
systemctl status logstash

2.3 Cài đặt kibana

Cài đặt kibana từ kho lưu trữ.

apt-get install kibana

Chỉnh sửa cấu hình kibana.

sed -i 's/#server.host: "localhost"/server.host: "0.0.0.0"/'g /etc/kibana/kibana.yml

Khởi động kibana và cho phép nó khởi động cùng hệ thống.

systemctl start kibana
systemctl enable kibana
systemctl status kibana

Sau đó ta truy cập web với địa chỉ của máy để kiểm tra cấu hình kibana đã thành công hay chưa.

http://ip-elk_server:5601

Như vậy mình đã hướng dẫn các bạn cài đặt ELK trên Ubuntu 18.04, tiếp theo mình sẽ hướng dẫn các bạn cách tích hợp ELK với Suricata sử dụng 1 dự án có sẵn là “sýnesis™ Lite for Suricata“. Các bạn có thể theo dõi tiếp tại đây.

Add a Comment

Your email address will not be published. Required fields are marked *