Introducción
Código en Github: Elasticsearch y Beats
Vamos a configurar Auditbeat con Elasticsearch y Kibana. Si aún no tiene Elasticsearch y Kibana configurados, entonces siga estas instrucciones.
Este vídeo asume que estás usando Certificados firmados públicamente. Si estas usando Certificados autofirmados, Vaya aquí Por determinar.
Requisitos
Una instancia en ejecución de Elasticsearch y Kibana.
Una instancia de otro servidor Ubuntu 20.04 que ejecuta cualquier tipo de servicio.
Pasos
Paso 1 - Descargar Auditbeat [01:12]
En la máquina Ubuntu que ejecutará auditbeat, ejecute estos comandos para descargar las dependencias:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg;
echo 'deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main' | sudo tee /etc/apt/sources.list.d/elastic-8.x.list;
sudo apt-get install -y apt-transport-https;
apt-get install -y auditbeat;
Paso 2: Configurar Auditbeat [02:14]
Edite estos campos para el /etc/auditbeat/auditbeat.yml
- module: system
state.period: 2m
setup.dashboards.enabled: true
setup.kibana:
host: "https://<kibana-domain>:<kibana-port>"
output.elasticsearch:
hosts: ["<elasticsearch-domain>:<elasticsearch-port>"]
protocol: "https"
username: "elastic"
password: "<your elastic password>"
El auditbeat.yml completo se puede encontrar aquí
IMPORTANTE: Usamos el superusuario elástico para la configuración inicial. Reduciremos los privilegios más adelante.
Luego prueba tu configuración con estos comandos:
/usr/share/auditbeat/bin/auditbeat test config -c /etc/auditbeat/auditbeat.yml --path.data /var/lib/auditbeat --path.home /usr/share/auditbeat
/usr/share/auditbeat/bin/auditbeat test output -c /etc/auditbeat/auditbeat.yml --path.data /var/lib/auditbeat --path.home /usr/share/auditbeat
Deberías ver algo como esto:
Verificar la configuración de auditbeat
Paso 3: Configurar Auditbeat [10:22]
Ahora ejecute este comando para configurar los flujos de datos y las vistas de auditbeat en Elasticsearch y Kibana:
/usr/share/auditbeat/bin/auditbeat setup -c /etc/auditbeat/auditbeat.yml --path.data /var/lib/auditbeat --path.home /usr/share/auditbeat
Una vez finalizado el comando, ve a Kibana Menú y visitar Panel para ver muchos paneles prediseñados.
Paso 4: Crear un usuario de publicación [11:42]
Crear rol
En Kibana, vaya a Gestión de pilas > Roles > Crear rol. Luego, completa estos campos:
Role name: auditbeat-publisher
Cluster privileges: monitor, read_ilm
Indices: auditbeat-*
Privileges: create_doc
Crear usuario
En Kibana, vaya a Gestión de pila > Usuarios > Crear usuario. Luego, completa estos campos:
Username: auditbeat-publisher
Full name: auditbeat-publisher
Email address: anything@anything.com
Password: anything
Roles: auditbeat-publisher, editor
Crear una clave API para el usuario
En Kibana, vaya a Herramientas de desarrollo > Consola. Luego ejecute este comando:
POST /_security/api_key/grant
{
"grant_type": "password",
"username": "auditbeat-publisher",
"password": "anything",
"api_key": {
"name": "auditbeat-publisher"
}
}
Esto debería producir un resultado como el siguiente:
Token de usuario de Auditbeat
Editar el /etc/auditbeat/auditbeat.yml comentando el elastic nombre de usuario y contraseña y habilitar el api_key Así:
output.elasticsearch:
...etc...
api_key: "${ES_API_KEY}"
#username: "elastic"
#password: ""
...etc...
Usaremos el almacén de claves de Auditbeat para cargar secretos en tiempo de ejecución. Ahora ejecute este comando para configurar...ES_API_KEY variable del almacén de claves:
/usr/share/auditbeat/bin/auditbeat keystore add ES_API_KEY -c /etc/auditbeat/auditbeat.yml --path.data /var/lib/auditbeat --path.home /usr/share/auditbeat
Prensa ingresar y cuando se le solicite, péguelo <id>:<api_key> donde el <id> y el <api_key> son los valores de la respuesta del token de usuario que recibió anteriormente.
Paso 5 - Ejecutar Auditbeat [19:22]
systemctl enable auditbeat.service;
systemctl start auditbeat.service;
En un momento, deberías comenzar a ver resultados en Kibana en cualquiera de los dos.Descubrir, Observabilidad, Gestión de pilas > Gestión de índices > Flujo de datos, Panel de control > Seleccionar un panel de Auditbeat.