[Debian] ELK

Introduction

La suite ELK pour Elastic Logstash et Kibana est un ensemble d'outil de sécurité qui permettent de collecter, indexer, parser et afficher les logs.

Ces outils sont complémentaires et primordiaux pour la blue team.

Sources

• Documentation officielle - Installation Elasticsearch
• Documentation officielle - Installation Logstash
• Documentation officielle - Installation Kibana

Installation

Prérequis

Tout d'abord, il faut importer la clé GPG pour être en mesure d'installer les outils de la suite ELK :

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg && apt-get install apt-transport-https && echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-8.x.list && apt-get update

Elasticsearch

Voici la commande pour installer Elasticsearch :

apt install -y elasticsearch

Démarrez et activez le service elasticsearch :

systemctl enable --now elasticsearch

La configuration globale d'elasticsearch se trouve dans le fichier /etc/elasticsearch/elasticsearch.yml .

Ensuite, configurez le mot de passe de l'utilisateur elastic grâce à cette commande :

/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic -i

Le service est désormais disponible depuis le navigateur en vous rendant sur https://<IP>:9200 .

Logstash

Voici la commande pour installer Logstash :

apt install -y logstash

Logstash peut être configuré à travers le fichier /etc/logstash/conf.d/beats.conf .

Démarrez et activez le service logstash :

systemctl enable --now logstash

Le service est désormais disponible sur le port 5044 .

Kibana

Voici la commande pour installer Kibana :

apt install -y kibana

Kibana peut être configuré à travers le fichier /etc/kibana/kibana.yml .

Démarrez et activez le service kibana :

systemctl enable --now kibana

Pour activer Kibana, créez un token grâce à la commande suivante :

/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana

Le service est désormais disponible sur l'url http://<IP>:5601 .

Pour activer Kibana, il vous sera demandé un token d'enrollement qui peut être généré grâce à la commande suivante :

/usr/share/kibana/bin/kibana-verification-code

Ensuite, un code de vérification vous sera demandé, tapez cette commande pour l'obtenir :

/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana