====== Установка ELK на Debian 10 ======

===== Установка Java =====

<code>
apt-get install ca-certificates-java default-jdk
</code>


===== Установка Elasticsearch =====

<code>
dpkg -i elasticsearch-8.14.1-amd64.deb
</code>

После установки нужно записать пароль

>...
>The generated password for the elastic built-in superuser is : **1_qwertyqwerty**
>...

Отредактировать файл

<code>
nano /etc/elasticsearch/elasticsearch.yml
</code>

Добавить строки

<code>
network.host: 0.0.0.0
http.port: 9200
</code>

Автозапуск и запуск

<code>
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch
</code>

Если нужно изменить пароль

<code>
/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic
</code>

Тут можно ограничить потребляемую память

<code>
nano /etc/elasticsearch/jvm.options
</code>


===== Установка Kibana =====

<code>
dpkg -i kibana-8.14.1-amd64.deb
</code>

Настройка

<code>
nano /etc/kibana/kibana.yml
</code>

Указываем IP интерфейса для прослушки

<code>
server.host: 127.0.0.1
</code>

Автозапуск и рестарт

<code>
systemctl enable kibana
systemctl restart kibana
</code>

Должен заработать веб-интерфейс \\
http://127.0.0.1:5601/

Получаем токен для веб-интерфейса Kibana

<code>
/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana
</code>

Вставить код в поле "Enrollment token" \\
Нажать **[Configure Elastic]**

Получение проверочного кода

<code>
/usr/share/kibana/bin/kibana-verification-code
</code>

Вводим код и жмем **[Verify]**


===== Установка Logstash =====

<code>
dpkg -i logstash-8.14.1-amd64.deb
</code>

Автозапуск и запуск

<code>
systemctl enable logstash
systemctl start logstash
</code>

Настройки находятся в каталоге: \\
/etc/logstash/conf.d/


===== Настройка сбора NetFlow =====

Установка плагина

<code>
/usr/share/logstash/bin/logstash-plugin install logstash-codec-netflow
</code>

Добавить файл настроек

<code>
nano /etc/logstash/conf.d/netflow.conf
</code>

<code>
input {
    udp {
        port => 9996
        buffer_size => 8192
        type => "netflow"
        codec => netflow {
            versions => [5,9,10]
        }
    }
}

output {
    if [type] == "netflow" {
        elasticsearch {
            hosts => ["https://127.0.0.1:9200"]
            index => "netflow-%{+YYYY.MM.dd}"
            user => "elastic"
            password => "1_qwertyqwerty"
            ssl_certificate_verification => false
        }
    }
}
</code>

Debug NetFlow

<code>
/usr/share/logstash/bin/logstash -e 'input { udp { port => 9996 codec => netflow }} output { stdout {codec => rubydebug }}'
</code>


===== Настройка сбора Syslog =====

Порты ниже 1024 запрещены в использование обычным пользователям \\
Настраиваем проброс с 514 на 5514 порт

<code>
sudo iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to-port 5514
sudo iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to-port 5514
</code>

Сохраняем

<code>
sudo iptables-save | sudo tee /etc/iptables/rules.v4
</code>

Добавить файл настроек

<code>
nano /etc/logstash/conf.d/syslog.conf
</code>

<code>
input {
    udp {
        port => 5514
        type => "syslog"
    }
}

output {
    if [type] == "syslog" {
        elasticsearch {
            hosts => ["https://127.0.0.1:9200"]
            index => "syslog-%{+YYYY.MM.dd}"
            user => "elastic"
            password => "1_qwertyqwerty"
            ssl_certificate_verification => false
        }
    }
}
</code>

Debug Syslog

<code>
/usr/share/logstash/bin/logstash -e 'input { udp { port => 514 }} output { stdout {codec => rubydebug }}'
/usr/share/logstash/bin/logstash -e 'input { syslog { port => 514 }} output { stdout {codec => rubydebug }}'
</code>


===== Проверка настроек сбора данных =====

Проверка конфигурации

<code>
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -t
</code>

Если все в порядке, увидим надпись:
>Configuration OK

После изменения настроек перезапустить

<code>
systemctl restart logstash
</code>


===== Прочее =====

==== Версия Logstash ====

<code>
/usr/share/logstash/bin/logstash --version
</code>

==== Список плагинов ====

<code>
/usr/share/logstash/bin/logstash-plugin list
</code>

==== Список и версии плагинов ====

<code>
/usr/share/logstash/bin/logstash-plugin list --verbose
</code>

==== Справка ====

<code>
/usr/share/logstash/bin/logstash --help
/usr/share/logstash/bin/logstash-plugin --help
</code>

==== Проверка портов ====

<code>
netstat -tulpn
</code>


===== Источники =====
  * [[https://www.elastic.co/downloads]]
  * [[https://www.elastic.co/downloads/elasticsearch]]
  * [[https://www.elastic.co/downloads/logstash]]
  * [[https://www.elastic.co/downloads/kibana]]
  * [[https://www.dmosk.ru/instruktions.php?object=elk-ubuntu]]
  * [[https://www.elastic.co/guide/en/logstash/current/plugins-inputs-syslog.html]]
  * [[https://tipoit.kz/linux/all/syslog/2020/12/14/syslog-configure.html]]
  * [[https://www.dmosk.ru/instruktions.php?object=elk-ubuntu]]