[6] Packetbeat – Instalacja

29 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Zainstaluj Packetbeat, który zbiera i analizuje pakiety sieciowe.

[1] Zainstaluj Packetbeat. Skonfiguruj repozytorium Elasticsearch przed instalacją.

[root@vlsr01 ~]# dnf install packetbeat

[2] Skonfiguruj podstawowe ustawienia i uruchom Packetbeat.

[root@vlsr01 ~]# mcedit /etc/packetbeat/packetbeat.yml
# linia 39: ustaw elementy do zbierania danych
# jeśli wyłączysz ICMPv4/ICMPv6, zmień na false
# linie 44 i dalsze: wiele pozycji jest domyślnie monitorowanych,
# ale jeśli nie potrzebujesz, skomentuj linię [ports: ***]
packetbeat.protocols:
- type: icmp
# Enable ICMPv4 and ICMPv6 monitoring. Default: false
enabled: true
- type: amqp
# Configure the ports where to listen for AMQP traffic. You can disable
# the AMQP protocol by commenting out the list of ports.
ports: [5672]
# linia 159 : jeśli używasz Kibany, odkomentuj i określ hosta wyjściowego
# jeśli SSL jest włączony w Kibana, nazwa hosta powinna być taka sama jak nazwa hosta w certs
setup.kibana:
host: https://vlsr01.zicher.lab:5601
# linia 190 : określ hosta wyjściowego
# domyślną opcją jest Elasticsearch lokalnego hosta
# jeśli wyjście jest do Logstash, zakomentuj Elasticsearch i odkomentuj wiersze logstash
output.elasticsearch:
# Array of hosts to connect to
hosts: ["localhost:9200"]
. . . . .
#output.logstash:
# The Logstash hosts
#hosts: ["localhost:5044"]

[root@vlsr01 ~]# mcedit /etc/packetbeat/packetbeat.reference.yml
# linia 1791 : jeśli używasz Kibana, odkomentuj i podaj hosta wyjściowego
# jeśli SSL jest włączone w Kibana, odkomentuj wiersze związane z ssl
# jeśli twoje certyfikaty są z własnym podpisem, ssl.verification_mode powinien mieć wartość [brak]
setup.kibana:
# Kibana Host
# Scheme and port can be left out and will be set to the default (http and 5601)
# In case you specify and additional path, the scheme is required: http://localhost:5601/path
# IPv6 addresses should always be defined as: https://[2001:db8::1]:5601
host: "lsrv01.zicher.lab:5601"
# Optional protocol and basic auth credentials.
protocol: "https"
#username: "elastic"
#password: "changeme"
# Optional HTTP Path
#path: ""
# Use SSL settings for HTTPS. Default is true.
ssl.enabled: true
. . . . .
# after very careful consideration. It is primarily intended as a temporary
# diagnostic mechanism when attempting to resolve TLS errors; its use in
# production environments is strongly discouraged.
# The default value is full.
ssl.verification_mode: none

[root@vlsr01 ~]# systemctl enable --now packetbeat

[3] Sprawdź status, czy dane zostały zebrane normalnie.

# index listy
[root@vlsr01 ~]# curl localhost:9200/_cat/indices?v
health status index                               uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .geoip_databases                    3Blp2ITzT3OGMcKpXWQmvQ   1   0         44            0     41.5mb         41.5mb
yellow open   sshd_fail-2022.03                   oEnHEEU5QAe_qnDkUUhxYg   1   1         11            0     64.3kb         64.3kb
green  open   .apm-custom-link                    xQPmqjYQQNGk7jqY47y5lg   1   0          0            0       226b           226b
yellow open   metricbeat-7.17.1-2022.03.26-000001 7YefwbdcSdehjGkbWHoFog   1   1      88253            0     52.9mb         52.9mb
green  open   .apm-agent-configuration            5G3uKQzFReOnbIAS1thWCg   1   0          0            0       226b           226b
yellow open   packetbeat-7.17.1-2022.03.27-000001 YmtowBRbQjSaYcjWVRqRHA   1   1       1144            0    490.5kb        490.5kb
green  open   .async-search                       KVliO2njSce1JuGEXKxeuQ   1   0          0            0       255b           255b
green  open   .kibana_task_manager_7.17.1_001     OSLFw2ALSgi4QKmU_ucjOA   1   0         17        55104      5.6mb          5.6mb
green  open   .kibana_7.17.1_001                  rnb6SpMkQQmPFx1PI4t77Q   1   0       2508          135      3.4mb          3.4mb

# lista dokumentów w indeksie
[root@vlsr01 ~]# curl localhost:9200/packetbeat-7.17.1-2022.03.27-000001/_search?pretty
{
  "took" : 1,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 2834,
      "relation" : "eq"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "packetbeat-7.17.1-2022.03.27-000001",
        "_type" : "_doc",
        "_id" : "Glt7yn8Bv-wbtR344mnj",
        "_score" : 1.0,
        "_source" : {
          "@timestamp" : "2022-03-27T08:26:30.000Z",
          "flow" : {
            "id" : "EAT/////AP//////CP8AAAF/AAABfwAAAQjT8CM",
            "final" : false
          },
          "type" : "flow",
          "network" : {
            "packets" : 212,
            "type" : "ipv4",
            "transport" : "tcp",
            "community_id" : "1:ty11Ny8zNqX0btZPr6V6LAaKgnU=",
            "bytes" : 14416
          },
. . . . .

[root@vlsr01 ~]# systemctl enable --now packetbeat

[4] Jeśli Kibana jest uruchomiona, możliwe jest importowanie danych do przykładowych Dashboardów.

[root@vlsr01 ~]# packetbeat setup --dashboards
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards