Vorraussetzungen

Hardware

• 8 - 32 GB RAM
• 32 GB Festplattenspeicher für Docker und ELK Stack

Swap für mehr Stabilität entfernen

• Falls eine Swap-Partition bei der Installation erstellt wurde, empfiehlt die Dokumentation, diese auszuschalten
• swapoff -a
• vim /etc/fstab # swap entfernen

Maximale Memory Maps erhöhen

• vim /etc/sysctl.conf

vm.max_map_count=262144

• sysctl -p

Installation

• apt install apt-transport-https gnupg2 software-properties-common dirmngr lsb-release ca-certificates git
• wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg
• echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-8.x.list
• apt update
• apt install elasticsearch kibana logstash
• Konfigurationstemplates holen
• git clone https://github.com/pfelk/pfelk

Konfiguration

Kibana

• vim /etc/kibana/kibana.yml

...
server.port: 5601
...
server.host: "0.0.0.0"
...

Pfelk

• Konfigurationsordner anlegen
• sudo mkdir -p /etc/pfelk/{conf.d,config,logs,databases,patterns,scripts,templates}
• Konfigurationsvorlagen in die entsprechenden Verzeichnisse kopieren
• cp pfelk/etc/pfelk/conf.d/01-inputs.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/02-firewall.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/05-apps.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/30-geoip.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/49-cleanup.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/50-outputs.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/20-interfaces.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/35-rules-desc.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/36-ports-desc.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/37-enhanced_user_agent.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/38-enhanced_url.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/conf.d/45-enhanced_private.pfelk -P /etc/pfelk/conf.d/
• cp pfelk/etc/pfelk/patterns/pfelk.grok -P /etc/pfelk/patterns/
• cp pfelk/etc/pfelk/patterns/openvpn.grok -P /etc/pfelk/patterns/
• cp pfelk/etc/pfelk/databases/private-hostnames.csv -P /etc/pfelk/databases/
• cp pfelk/etc/pfelk/databases/rule-names.csv -P /etc/pfelk/databases/
• cp pfelk/etc/pfelk/databases/service-names-port-numbers.csv -P /etc/pfelk/databases/

Logstash konfigurieren

• cp pfelk/etc/pfelk/config/pipelines.yml /etc/logstash/
• sudo mkdir -p /etc/pfelk/logs
• cp pfelk/etc/pfelk/scripts/error-data.sh /etc/pfelk/scripts/
• sudo chmod +x /etc/pfelk/scripts/error-data.sh
• sudo /bin/systemctl daemon-reload
• sudo /bin/systemctl enable elasticsearch.service --now
• sudo /bin/systemctl enable kibana.service --now
• sudo /bin/systemctl enable logstash.service --now

Elastic Enrollment

• /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token --scope kibana
• http://IP:5601
• /usr/share/kibana/bin/kibana-verification-code
• http://IP:5601
• user: elastic
• pass:

/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic

Links

• https://github.com/pfelk/pfelk