Sur votre poste Windows, ou ELK est installé :

- 3.png (159.74 Kio) Vu 3404 fois

- 2.png (122.2 Kio) Vu 3404 fois

- 1.png (151.97 Kio) Vu 3404 fois
1) Tout en bas, à gauche, choisissez "Beats uniquement",
2) puis, parcourez jusqu'à "suricata avec filbeat" (dans les rectangles au milieu-droite)
3) Laissons pour l'instant, sur la page active, puis revenons installer le connecteur "filebeat"
Ensuite, sur votre Rpi4, où est installé Suricata et où nous allons installer filebeat :
Saisissez sous bash :
Code : Tout sélectionner
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-9.1.4-arm64.deb
Uploadez ensuite, le certificat du CA (ex : elastic-stack-ca.crt), normalement dans "D:\ELK\elasticsearch-9.0.3\config" de votre ELK (Windows), sur votre Rpi4, dans le dossier /etc/filebeat/
Après :
à l'intérieur :
Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "output.elasticsearch:"
Renseignez alors les lignes suivantes :
Code : Tout sélectionner
output.elasticsearch:
hosts: ["https://myEShost:9200"]
username: "elastic"
password: "YOUR_PASSWORD_ELASTIC"
ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]
Ensuite, quelques lignes plus bas :
Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "setup.kibana:"
Code : Tout sélectionner
setup.kibana:
host: "mykibanahost:5601"
username: "elastic"
password: "YOUR_PASSWORD_ELASTIC"
ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]
Enregistrez et fermez (n'oubliez pas de respecter les itérations, aux débuts de lignes, et de remplacer vos valeurs).
Code : Tout sélectionner
cp /etc/filebeat/modules.d/suricata.yml.disabled /etc/filebeat/modules.d/suricata.yml
Modifiez/ajoutez les lignes suivantes :
Code : Tout sélectionner
- module: suricata
eve:
enabled: true
var.paths: ["/var/log/suricata/eve.json"]
Enregistrez et fermez, puis vérifiez la config et installez le :
pour lancer une session de filebeat en direct, avec les logs :
pour lancer le démon :
Revenons donc à kibana (sur l'explorateur internet, sur notre Win 11) :

- 11.png (136.37 Kio) Vu 3404 fois

- 10.png (152.42 Kio) Vu 3404 fois
Vous devez obtenir quelque chose comme ça, si tout est correct :

- 9.png (152.42 Kio) Vu 3404 fois
1) cliquez sur "Discover" sous "Logs"
Vous devriez avoir ceci :

- 8.png (211.92 Kio) Vu 3404 fois
1) Choisissez ici le champ (par ex "destination.ip"
2) Vous avez ici le récupératif.

- 6.png (109.07 Kio) Vu 3404 fois

- 5.png (152.34 Kio) Vu 3404 fois

- 4.png (82.36 Kio) Vu 3404 fois
source : <
https://www.elastic.co/docs/reference/b ... le-modules> et ChatGPT.