Cara Melempar Log Bro IDS ke elasticsearch Kibana
Langkah Pertama : install bro IDS, Elasticsearch kibana dan Log stash (Artikel Selanjutnya) Install Bro IDS di Client dan Install Elasticsearch Kibana dan Logstash di Server
Langkah 2 : Setelah kita menginstall Bro IDS ,ElasticSearch Kibana, dan logstash kita Bisa menginstall filebeat untuk memindahkannya install filebeatnya seperti dibawah ini
Langkah 3 : install Filebeat
Masuk Ke Root Lalu Update reponya (sudo apt update)
wget -qO — https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
apt-get install apt-transport-https
echo “deb https://artifacts.elastic.co/packages/6.x/apt stable main” | tee -a /etc/apt/sources.list.d/elastic-6.x.list
apt-get update && apt-get install filebeat -y
Lalu Aktifkan Filebeatnya
systemctl enable filebeat
systemctl start filebeat
Langkah 4 : Mengirim Log dari client ke elk-server
kita akan mengirim log dari /nsm/bro/logs/current/conn.log
Konfigurasi Filebeat dari client
mv /etc/filebeat/filebeat.yml /etc/filebeat/filebeat.yml.original
vi /etc/filebeat/filebeat.yml
isi ip elk-server di hostnya,
jadi disini kita akan mengirim log dari /nsm/bro/logs/current/conn.logdan dengan log_name broids(bebas sebenarnya)
filebeat.inputs:
- type: log
enabled: true
paths:
- /nsm/bro/logs/current/conn.log
fields:
log_name: broids
output.logstash:
hosts: ["IP_elk-serverkibananya:5044"]Setelah itu restart filebeatnya (systemctl restart filebeat)
Sekarang Kita pindah ke server
lalu membuat filter log
vi /etc/logstash/conf.d/filter-syslog.confSetelah terbuka isi log_name nya sesuai seperti yang di filebeat
filter {
if [fields][log_name] == "broids" {
mutate {
add_tag => [ "syslog" ]
}
}
}Setelah itu restart Log stash
systemctl restart logstashSetelah itu kita bisa melihat index lognya yang tersimpan
curl http://localhost:9200/_cat/indices?vjika konfigurasi benar akan ada tampilan di syslog yang tersimpan di elastic search
full Konfigurasi akan di publish 14 september 2019
