Спочатку налаштовуємо файл на кожній ноді /etc/elasticsearch/elasticsearch.yml:
Вказуємо ім'я кластера (воно має співпадати на всіх нодах)
cluster.name: tt-log
Роль нід:
node.roles: [ master, data, ingest ]
Lock the memory on startup:
bootstrap.memory_lock: true
Адреса ноди, яку ви налаштовуєте
network.host: 172.17.11.34
Налаштування порту та хоста
transport.host: 0.0.0.0
http.port: 9200
Початковий список хостів для виявлення при запуску цього вузла (перераховуємо всі ноди які ми будемо використовувати в кластері)
discovery.seed_hosts:
- SRV-TT-LOG11.wiset.local
- SRV-TT-LOG12.wiset.local
- SRV-TT-LOG13.wiset.local
Ноди, які можуть виступати майстром
cluster.initial_master_nodes:
- srv-tt-log11.wiset.local
- srv-tt-log12.wiset.local
- srv-tt-log13.wiset.local
Щоб elasticsearch корректно завівся створюємо шляхом vim /etc/systemd/system/elasticsearch.service.d/elasticsearch.conf наступного змісту:
[Service]
LimitMEMLOCK=infinity
LimitNPROC=4096
LimitNOFILE=65536
Після цього виконуємо команду:
systemctl daemon-reload
Для отримання статистики від elasticsearch використовуємо metricbeat налаштований згідно з цією статтею
Встановлюємо metircbeat
yum install metricbeat
Включаємо модуль elasticsearch-xpack
metricbeat modules enable elasticsearch-xpack
Включити збір даних моніторингу в kibana
``json
GET _cluster/settings
PUT _cluster/settings
{
"persistent": {
"xpack.monitoring.collection.enabled": true
}
}
Disable module system
metricbeat modules disable system
Для перегляду всіх включених модулів metricbeat також відобразить які з них включені
metricbeat modules list
У конфігураційному файлі `/etc/metricbeat/metricbeat.yml` перераховуємо всі ноди
output.elasticsearch:
hosts: ["http://srv-tt-log13.wiset.local:9200", "http://srv-tt-log11.wiset.local:9200", "http://srv-tt-log12. wiset.local:9200"]
## Filebeat
Для установки:
`yum install filebeat`
Для встановлення dashboard:
`filebeat setup`
Для правильного формування індексів потрібно додати файл `/etc/filebeat/filebeat.yml`
setup.template.settings:
setup.template.enabled: true
setup.template.overwrite: true
Для перевірки синтаксису в конфізі
filebeat test config
# Kibana
## Перемикання на 443 порт
Для роботи kibana на порту 443 зупиняємо сервіс kibana `systemctl stop kibana` правимо конфігураційний файл `/etc/kibana/kibana.yml` у якому змінюємо порт:
server.port: 443
Після чого запускаємо наступні команди взяті по [цій](https://stackoverflow.com/questions/29615310/kibana4-to-listen-on-port-80-instead-of-port-5601/29618626) або [цій]( https://openthreat.ro/kibana-unable-to-bind-port-80-or-443/) статті:
sudo setcap cap_net_bind_service=+epi /usr/share/kibana/bin/kibana
sudo setcap cap_net_bind_service=+epi /usr/share/kibana/bin/kibana-plugin
sudo setcap cap_net_bind_service=+epi /usr/share/kibana/bin/kibana-keystore
sudo setcap cap_net_bind_service=+epi /usr/share/kibana/node/bin/node
Стартуємо kibana `systemctl start kibana` та перевіряємо роботу сервісу на нашому порту.
netstat-tenpula | grep LIST | grep 443
Після цього приступаємо до налаштування шифрування трафіку між kibana та браузером.
## Encrypt browser and kibana
Була зроблена за цією [статтею](https://www.elastic.co/guide/en/kibana/current/configuring-tls.html)
Основні моменти налаштування для підключення сертифіката в конфігураційному файлі `/etc/kibana/kibana.yml`:
server.ssl.enabled: true
server.ssl.certificate: /etc/kibana/youdomain.ua.crt
server.ssl.key: /etc/kibana/youdomain.ua.key
А також прописуємо публічний URL по якому в подальшому будемо підключати.
server.publicBaseUrl: "https://youdomain.ua"
## UFW redirect port
Альтернативний варіант перенаправити порт 5601 на 80 за допомогою IPTABLES. Оскільки ця віртуальна машина запускає тільки кібана і еластичнідослідження, у мене не буде конфліктів портів.
Відкриття 80-го порту в UFW
sudo ufw allow 80/tcp
Після цього ми можемо додати перенаправлення
Виконуємо `sudo vim /etc/ufw/before.rules` і безпосередньо перед `*filter` додаємо:
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-poty 5601
COMMIT
У `firewalld` прокидання трафіку з `514` порту на `10514`
sudo firewall-cmd --add-forward-port=port=514:proto=tcp:toport=10514 --permanent