[6] Packetbeat – Instalacja
29 marca 2022Zainstaluj Packetbeat, który zbiera i analizuje pakiety sieciowe.
[1] Zainstaluj Packetbeat. Skonfiguruj repozytorium Elasticsearch przed instalacją.
[root@vlsr01 ~]# dnf install packetbeat
[2] Skonfiguruj podstawowe ustawienia i uruchom Packetbeat.
[root@vlsr01 ~]# mcedit /etc/packetbeat/packetbeat.yml # linia 39: ustaw elementy do zbierania danych # jeśli wyłączysz ICMPv4/ICMPv6, zmień na false # linie 44 i dalsze: wiele pozycji jest domyślnie monitorowanych, # ale jeśli nie potrzebujesz, skomentuj linię [ports: ***] packetbeat.protocols: - type: icmp # Enable ICMPv4 and ICMPv6 monitoring. Default: false enabled: true - type: amqp # Configure the ports where to listen for AMQP traffic. You can disable # the AMQP protocol by commenting out the list of ports. ports: [5672] # linia 159 : jeśli używasz Kibany, odkomentuj i określ hosta wyjściowego # jeśli SSL jest włączony w Kibana, nazwa hosta powinna być taka sama jak nazwa hosta w certs setup.kibana: host: https://vlsr01.zicher.lab:5601 # linia 190 : określ hosta wyjściowego # domyślną opcją jest Elasticsearch lokalnego hosta # jeśli wyjście jest do Logstash, zakomentuj Elasticsearch i odkomentuj wiersze logstash output.elasticsearch: # Array of hosts to connect to hosts: ["localhost:9200"] . . . . . #output.logstash: # The Logstash hosts #hosts: ["localhost:5044"] [root@vlsr01 ~]# mcedit /etc/packetbeat/packetbeat.reference.yml # linia 1791 : jeśli używasz Kibana, odkomentuj i podaj hosta wyjściowego # jeśli SSL jest włączone w Kibana, odkomentuj wiersze związane z ssl # jeśli twoje certyfikaty są z własnym podpisem, ssl.verification_mode powinien mieć wartość [brak] setup.kibana: # Kibana Host # Scheme and port can be left out and will be set to the default (http and 5601) # In case you specify and additional path, the scheme is required: http://localhost:5601/path # IPv6 addresses should always be defined as: https://[2001:db8::1]:5601 host: "lsrv01.zicher.lab:5601" # Optional protocol and basic auth credentials. protocol: "https" #username: "elastic" #password: "changeme" # Optional HTTP Path #path: "" # Use SSL settings for HTTPS. Default is true. ssl.enabled: true . . . . . # after very careful consideration. It is primarily intended as a temporary # diagnostic mechanism when attempting to resolve TLS errors; its use in # production environments is strongly discouraged. # The default value is full. ssl.verification_mode: none [root@vlsr01 ~]# systemctl enable --now packetbeat
[3] Sprawdź status, czy dane zostały zebrane normalnie.
# index listy [root@vlsr01 ~]# curl localhost:9200/_cat/indices?v health status index uuid pri rep docs.count docs.deleted store.size pri.store.size green open .geoip_databases 3Blp2ITzT3OGMcKpXWQmvQ 1 0 44 0 41.5mb 41.5mb yellow open sshd_fail-2022.03 oEnHEEU5QAe_qnDkUUhxYg 1 1 11 0 64.3kb 64.3kb green open .apm-custom-link xQPmqjYQQNGk7jqY47y5lg 1 0 0 0 226b 226b yellow open metricbeat-7.17.1-2022.03.26-000001 7YefwbdcSdehjGkbWHoFog 1 1 88253 0 52.9mb 52.9mb green open .apm-agent-configuration 5G3uKQzFReOnbIAS1thWCg 1 0 0 0 226b 226b yellow open packetbeat-7.17.1-2022.03.27-000001 YmtowBRbQjSaYcjWVRqRHA 1 1 1144 0 490.5kb 490.5kb green open .async-search KVliO2njSce1JuGEXKxeuQ 1 0 0 0 255b 255b green open .kibana_task_manager_7.17.1_001 OSLFw2ALSgi4QKmU_ucjOA 1 0 17 55104 5.6mb 5.6mb green open .kibana_7.17.1_001 rnb6SpMkQQmPFx1PI4t77Q 1 0 2508 135 3.4mb 3.4mb # lista dokumentów w indeksie [root@vlsr01 ~]# curl localhost:9200/packetbeat-7.17.1-2022.03.27-000001/_search?pretty { "took" : 1, "timed_out" : false, "_shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 2834, "relation" : "eq" }, "max_score" : 1.0, "hits" : [ { "_index" : "packetbeat-7.17.1-2022.03.27-000001", "_type" : "_doc", "_id" : "Glt7yn8Bv-wbtR344mnj", "_score" : 1.0, "_source" : { "@timestamp" : "2022-03-27T08:26:30.000Z", "flow" : { "id" : "EAT/////AP//////CP8AAAF/AAABfwAAAQjT8CM", "final" : false }, "type" : "flow", "network" : { "packets" : 212, "type" : "ipv4", "transport" : "tcp", "community_id" : "1:ty11Ny8zNqX0btZPr6V6LAaKgnU=", "bytes" : 14416 }, . . . . . [root@vlsr01 ~]# systemctl enable --now packetbeat
[4] Jeśli Kibana jest uruchomiona, możliwe jest importowanie danych do przykładowych Dashboardów.
[root@vlsr01 ~]# packetbeat setup --dashboards Loading dashboards (Kibana must be running and reachable) Loaded dashboards