OPNsense Elastic Search mit PFELK: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 29: Zeile 29:
 
;Kibana Verification Code  
 
;Kibana Verification Code  
 
[[Datei:kcode.png|900px]]
 
[[Datei:kcode.png|900px]]
== Elastic ==
+
== Nacharbeiten ==
*Enrollment-Key generieren und in die Weboberfläche eintragen
+
;Neues Passwort setzen
*'''/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token --scope kibana'''
+
*/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic
*http://ip.elk.stack:5601
+
;In der Weboberfläche ändern
*Kibana wird für einen Verifikationscode fragen
+
*Oben rechts Profil auswählen
*'''/usr/share/kibana/bin/kibana-verification-code'''
+
**Edit Profile
*http://ip.elk.stack:5601
+
***Change Password
*Falls das Passwort für den Nutzer ''elastic'' verloren gegangen ist, kann dieser so zurückgesetzt werden
+
;Password im Logstash setzen
*'''/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic'''
+
*sed  -ie "s/changeme/123Start$/" 50-outputs.pfelk
*http://ip.elk.stack:5601
+
;Fehler bereinigen
 +
*sed  -ie "s/cacert/ssl_certificate_authorities/" 50-outputs.pfelk
 +
=Einstellungen Opnsense=
 +
==Firewall und Logging allgemein==
 +
*System
 +
**Settings
 +
***Logging
 +
****Remote
 +
*****+
 +
[[Datei:opnsens-log-allgemein.png]]
  
user: elastic
+
==Firewall und Logging allgemein==
pass: ******
+
*Services
 +
**Intrusion Detection
 +
***Administration
 +
****Settings
 +
[[Datei:opnsens-log-suricata.png]]
 +
 
 +
=Cheat Sheet=
 +
*[[Elasticsearch Cheat Sheet (pfELK)]]
  
 
= Links =
 
= Links =
 
* https://github.com/pfelk/pfelk
 
* https://github.com/pfelk/pfelk

Aktuelle Version vom 13. September 2025, 17:59 Uhr

Vorraussetzungen

Hardware

  • 8 - 32 GB RAM
  • 32 GB Festplattenspeicher für Docker und ELK Stack

Swap für mehr Stabilität entfernen

  • Falls eine Swap-Partition bei der Installation erstellt wurde, empfiehlt die Dokumentation, diese auszuschalten
  • swapoff -a
  • vim /etc/fstab # swap entfernen

Maximale Memory Maps erhöhen

  • vim /etc/sysctl.conf 
vm.max_map_count=262144
  • sysctl -p

Installation

Download installer script from pfelk repository
Make script executable
  • chmod +x pfelk-installer.sh
Run installer script
  • sudo ./pfelk-installer.sh

Konfiguration

Enrollment token

Enrollment-token.png

Kibana Verification Code

Kcode.png

Nacharbeiten

Neues Passwort setzen
  • /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic
In der Weboberfläche ändern
  • Oben rechts Profil auswählen
    • Edit Profile
      • Change Password
Password im Logstash setzen
  • sed -ie "s/changeme/123Start$/" 50-outputs.pfelk
Fehler bereinigen
  • sed -ie "s/cacert/ssl_certificate_authorities/" 50-outputs.pfelk

Einstellungen Opnsense

Firewall und Logging allgemein

  • System
    • Settings
      • Logging
        • Remote
          • +

Opnsens-log-allgemein.png

Firewall und Logging allgemein

  • Services
    • Intrusion Detection
      • Administration
        • Settings

Opnsens-log-suricata.png

Cheat Sheet

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_Elastic_Search_mit_PFELK&oldid=64628