www.ctrl-click.fr

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-9.1.4-arm64.deb

sudo dpkg -i filebeat-9.1.4-arm64.deb

nano "/etc/filebeat/filebeat.yml"

output.elasticsearch:
  hosts: ["https://myEShost:9200"]
  username: "elastic"
  password: "YOUR_PASSWORD_ELASTIC"
  ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]

  protocol: "https"

setup.kibana:
  host: "mykibanahost:5601"
  username: "elastic"
  password: "YOUR_PASSWORD_ELASTIC"
  ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]

cp /etc/filebeat/modules.d/suricata.yml.disabled /etc/filebeat/modules.d/suricata.yml

nano /etc/filebeat/modules.d/suricata.yml

- module: suricata
  eve:
    enabled: true
    var.paths: ["/var/log/suricata/eve.json"]

filebeat test config

filebeat setup

filebeat -e

systemctl restart filebeat

systemctl status filebeat

Sur votre poste Windows, ou ELK est installé :
[attachment=10]1.png[/attachment]
[attachment=9]2.png[/attachment]
[attachment=8]3.png[/attachment]






1) Tout en bas, à gauche, choisissez "Beats uniquement",
2) puis, parcourez jusqu'à "suricata avec filbeat" (dans les rectangles au milieu-droite)
3) Laissons pour l'instant, sur la page active, puis revenons installer le connecteur "filebeat"

Ensuite, sur votre Rpi4, où est installé Suricata et où nous allons installer filebeat :

Saisissez sous bash :

[code]curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-9.1.4-arm64.deb[/code]
[code]sudo dpkg -i filebeat-9.1.4-arm64.deb[/code]

Uploadez ensuite, le certificat du CA (ex : elastic-stack-ca.crt), normalement dans "D:\ELK\elasticsearch-9.0.3\config" de votre ELK (Windows), sur votre Rpi4, dans le dossier /etc/filebeat/

Après :
[code]nano "/etc/filebeat/filebeat.yml"[/code] à l'intérieur :
Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "output.elasticsearch:"
Renseignez alors les lignes suivantes :
[code]output.elasticsearch:
hosts: ["https://myEShost:9200"]
username: "elastic"
password: "YOUR_PASSWORD_ELASTIC"
ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]
[/code]

Ensuite, quelques lignes plus bas :
[code] protocol: "https"[/code]

Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "setup.kibana:"


[code]setup.kibana:
host: "mykibanahost:5601"
username: "elastic"
password: "YOUR_PASSWORD_ELASTIC"
ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"][/code]

Enregistrez et fermez (n'oubliez pas de respecter les itérations, aux débuts de lignes, et de remplacer vos valeurs).

[code]cp /etc/filebeat/modules.d/suricata.yml.disabled /etc/filebeat/modules.d/suricata.yml[/code]
[code]nano /etc/filebeat/modules.d/suricata.yml[/code]
Modifiez/ajoutez les lignes suivantes :
[code]- module: suricata
eve:
enabled: true
var.paths: ["/var/log/suricata/eve.json"][/code]

Enregistrez et fermez, puis vérifiez la config et installez le :

[code]filebeat test config[/code]

[code]filebeat setup[/code]

pour lancer une session de filebeat en direct, avec les logs :
[code]filebeat -e[/code]

pour lancer le démon :
[code]systemctl restart filebeat[/code]
[code]systemctl status filebeat[/code]



Revenons donc à kibana (sur l'explorateur internet, sur notre Win 11) :

[attachment=7]4.png[/attachment]
[attachment=6]5.png[/attachment]














Vous devez obtenir quelque chose comme ça, si tout est correct :

[attachment=5]6.png[/attachment]

1) cliquez sur "Discover" sous "Logs"
Vous devriez avoir ceci :

[attachment=4]7.png[/attachment]


1) Choisissez ici le champ (par ex "destination.ip"
2) Vous avez ici le récupératif.

[attachment=2]9.png[/attachment]
[attachment=1]10.png[/attachment]
[attachment=0]11.png[/attachment]



















source : <https://www.elastic.co/docs/reference/beats/filebeat/filebeat-installation-configuration#enable-modules> et ChatGPT.