60 Logstash hay Kibana riêng rẽ. Tuy nhiên, việc đó đòi hỏi phải cài đặt qua nhiều
bước, yêu cầu nhiều bộthư viện hay công cụđi kèm. Để dễ dàng cho việc cài đặt
cũng như triển khai cho các doanh nghiệp vừa và nhỏ sau này, ở đây tác giả cài
đặt bằng cách sử dụng docker qua các câu lệnh sau: - Clone bộ cài ELK từ Github:
git clone https://github.com/deviantony/docker-elk.git cd docker-elk/
- Khởi chạy ELK Stack từ docker:
sudo docker stack deploy -c docker-stack.yml elk-stack
Hình 4.2 Khởi chạy ELK Stack trên docker
- Kiểm tra trạng thái ELK vừa cài trên docker:
Hình 4.3 Kiểm tra trạng thái ELK Stack trên docker
- Từ trình duyệt, truy cập địa chỉ http://192.168.202.145:5601 vào giao diện quản trị Kibana để xem quá trình cài đặt thành công hay không
- Cài đặt filebeat
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo apt-get install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt-get update && sudo apt-get install filebeat
- Cấu hình Filebeat cho phép đẩy log về ELK Stack, lưu ý đặt địa chỉ nguồn và đích cho đúng với IP máy chủ cài ELK và đặt filebeat tự động chạy sau khi hệ điều hành bật
sudo vi /etc/filebeat/filebeat.yml sudo filebeat modules enable system sudo filebeat test config
sudo filebeat test output sudo filebeat setup
61 sudo systemctl start filebeat
- Cài đặt và cấu hình Elasalert để thực hiện việc đẩy cảnh báo từ hệ thống SIEM tới các quản trị viên qua email
sudo apt-get install -y python
sudo apt-get install -y python-pip python-dev libffi-dev libssl-dev git clone https://github.com/Yelp/elastalert.git
cd elastalert
sudo pip install "setuptools>=11.3" sudo pip install pyOpenSSL
sudo python setup.py install
sudo pip install "elasticsearch>=5.0.0" cp config.example.yaml config.yaml
- Sửa file config.yaml và cập nhật lại địa chỉ IP hoặc dns của server elasticsearch
elastalert-create-index
- Chạy thử rule để kiểm tra hoạt động của Elasalert
elastalert-test-rule --config config.yaml example_rules/example_frequency.yaml
- Chạy Elasalert
python -m elastalert.elastalert --verbose --rule example_frequency.yaml
- Cài đặt Postfix Gmail SMTP, yêu cầu bật xác thực 2 nhân tố và khởi tạo mật khẩu ứng dụng
- Cài đặt Postfix
sudo apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules - Cấu hình Postfix relayhost = [smtp.gmail.com]:587 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CApath = /etc/ssl/certs smtpd_tls_CApath = /etc/ssl/certs smtp_use_tls = yes
- Cấu hình password gmail cho Posfix
cat /etc/postfix/sasl_passwd
62
- Phân quyền cho thư mục lưu password
sudo chmod 400 /etc/postfix/sasl_passwd sudo postmap /etc/postfix/sasl_passwd sudo systemctl restart postfix
- Kiểm tra thử khả năng gửi email:
echo "Testing" | mail -s "Test Email" server.jbs@gmail.com sudo postqueue -p