2.Forwarder filebeat -> ELK

Répondre

Smileys
:D :) ;) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :!: :?: :idea: :arrow: :| :mrgreen: :geek: :ugeek:
Les BBCodes sont activés
[img] est activé
[flash] est activé
[url] est désactivé
Les smileys sont activés
Revue du sujet
   

Étendre la vue Revue du sujet : 2.Forwarder filebeat -> ELK

2.Forwarder filebeat -> ELK

par admin » 17 oct. 2025, 02:58

Sur votre poste Windows, ou ELK est installé :
3.png
3.png (159.74 Kio) Vu 5078 fois
2.png
2.png (122.2 Kio) Vu 5078 fois
1.png
1.png (151.97 Kio) Vu 5078 fois





1) Tout en bas, à gauche, choisissez "Beats uniquement",
2) puis, parcourez jusqu'à "suricata avec filbeat" (dans les rectangles au milieu-droite)
3) Laissons pour l'instant, sur la page active, puis revenons installer le connecteur "filebeat"

Ensuite, sur votre Rpi4, où est installé Suricata et où nous allons installer filebeat :

Saisissez sous bash :

Code : Tout sélectionner

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-9.1.4-arm64.deb

Code : Tout sélectionner

sudo dpkg -i filebeat-9.1.4-arm64.deb
Uploadez ensuite, le certificat du CA (ex : elastic-stack-ca.crt), normalement dans "D:\ELK\elasticsearch-9.0.3\config" de votre ELK (Windows), sur votre Rpi4, dans le dossier /etc/filebeat/

Après :

Code : Tout sélectionner

nano "/etc/filebeat/filebeat.yml"
à l'intérieur :
Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "output.elasticsearch:"
Renseignez alors les lignes suivantes :

Code : Tout sélectionner

output.elasticsearch:
  hosts: ["https://myEShost:9200"]
  username: "elastic"
  password: "YOUR_PASSWORD_ELASTIC"
  ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]
Ensuite, quelques lignes plus bas :

Code : Tout sélectionner

  protocol: "https"
Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "setup.kibana:"

Code : Tout sélectionner

setup.kibana:
  host: "mykibanahost:5601"
  username: "elastic"
  password: "YOUR_PASSWORD_ELASTIC"
  ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]
Enregistrez et fermez (n'oubliez pas de respecter les itérations, aux débuts de lignes, et de remplacer vos valeurs).

Code : Tout sélectionner

cp /etc/filebeat/modules.d/suricata.yml.disabled /etc/filebeat/modules.d/suricata.yml

Code : Tout sélectionner

nano /etc/filebeat/modules.d/suricata.yml
Modifiez/ajoutez les lignes suivantes :

Code : Tout sélectionner

- module: suricata
  eve:
    enabled: true
    var.paths: ["/var/log/suricata/eve.json"]
Enregistrez et fermez, puis vérifiez la config et installez le :

Code : Tout sélectionner

filebeat test config

Code : Tout sélectionner

filebeat setup
pour lancer une session de filebeat en direct, avec les logs :

Code : Tout sélectionner

filebeat -e
pour lancer le démon :

Code : Tout sélectionner

systemctl restart filebeat

Code : Tout sélectionner

systemctl status filebeat


Revenons donc à kibana (sur l'explorateur internet, sur notre Win 11) :
11.png
11.png (136.37 Kio) Vu 5078 fois
10.png
10.png (152.42 Kio) Vu 5078 fois













Vous devez obtenir quelque chose comme ça, si tout est correct :
9.png
9.png (152.42 Kio) Vu 5078 fois
1) cliquez sur "Discover" sous "Logs"
Vous devriez avoir ceci :
8.png
8.png (211.92 Kio) Vu 5078 fois

1) Choisissez ici le champ (par ex "destination.ip"
2) Vous avez ici le récupératif.
6.png
6.png (109.07 Kio) Vu 5078 fois
5.png
5.png (152.34 Kio) Vu 5078 fois
4.png
4.png (82.36 Kio) Vu 5078 fois








ACHETEZ UN RASPBERRY PI 500+ ICI :















source : <https://www.elastic.co/docs/reference/b ... le-modules> et ChatGPT.
Fichiers joints
7.png
7.png (196.93 Kio) Vu 5078 fois

Haut