2.Forwarder filebeat -> ELK
Posté : 17 oct. 2025, 02:58
Sur votre poste Windows, ou ELK est installé :
1) Tout en bas, à gauche, choisissez "Beats uniquement",
2) puis, parcourez jusqu'à "suricata avec filbeat" (dans les rectangles au milieu-droite)
3) Laissons pour l'instant, sur la page active, puis revenons installer le connecteur "filebeat"
Ensuite, sur votre Rpi4, où est installé Suricata et où nous allons installer filebeat :
Saisissez sous bash :
Uploadez ensuite, le certificat du CA (ex : elastic-stack-ca.crt), normalement dans "D:\ELK\elasticsearch-9.0.3\config" de votre ELK (Windows), sur votre Rpi4, dans le dossier /etc/filebeat/
Après : à l'intérieur :
Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "output.elasticsearch:"
Renseignez alors les lignes suivantes :
Ensuite, quelques lignes plus bas :
Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "setup.kibana:"
Enregistrez et fermez (n'oubliez pas de respecter les itérations, aux débuts de lignes, et de remplacer vos valeurs).
Modifiez/ajoutez les lignes suivantes :
Enregistrez et fermez, puis vérifiez la config et installez le :
pour lancer une session de filebeat en direct, avec les logs :
pour lancer le démon :
Revenons donc à kibana (sur l'explorateur internet, sur notre Win 11) :
Vous devez obtenir quelque chose comme ça, si tout est correct :
1) cliquez sur "Discover" sous "Logs"
Vous devriez avoir ceci :
1) Choisissez ici le champ (par ex "destination.ip"
2) Vous avez ici le récupératif.
source : <https://www.elastic.co/docs/reference/b ... le-modules> et ChatGPT.
- 1.png (151.97 Kio) Vu 3401 fois
- 2.png (122.2 Kio) Vu 3401 fois
- 3.png (159.74 Kio) Vu 3401 fois
1) Tout en bas, à gauche, choisissez "Beats uniquement",
2) puis, parcourez jusqu'à "suricata avec filbeat" (dans les rectangles au milieu-droite)
3) Laissons pour l'instant, sur la page active, puis revenons installer le connecteur "filebeat"
Ensuite, sur votre Rpi4, où est installé Suricata et où nous allons installer filebeat :
Saisissez sous bash :
Code : Tout sélectionner
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-9.1.4-arm64.debCode : Tout sélectionner
sudo dpkg -i filebeat-9.1.4-arm64.debAprès :
Code : Tout sélectionner
nano "/etc/filebeat/filebeat.yml"Tapez : [ctrl]+[w], puis tapez dans la boite de dialogue "output.elasticsearch:"
Renseignez alors les lignes suivantes :
Code : Tout sélectionner
output.elasticsearch:
hosts: ["https://myEShost:9200"]
username: "elastic"
password: "YOUR_PASSWORD_ELASTIC"
ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]
Code : Tout sélectionner
protocol: "https"Code : Tout sélectionner
setup.kibana:
host: "mykibanahost:5601"
username: "elastic"
password: "YOUR_PASSWORD_ELASTIC"
ssl.certificate_authorities: ["/etc/filebeat/elastic-stack-ca.crt"]Code : Tout sélectionner
cp /etc/filebeat/modules.d/suricata.yml.disabled /etc/filebeat/modules.d/suricata.ymlCode : Tout sélectionner
nano /etc/filebeat/modules.d/suricata.ymlCode : Tout sélectionner
- module: suricata
eve:
enabled: true
var.paths: ["/var/log/suricata/eve.json"]Code : Tout sélectionner
filebeat test configCode : Tout sélectionner
filebeat setupCode : Tout sélectionner
filebeat -eCode : Tout sélectionner
systemctl restart filebeatCode : Tout sélectionner
systemctl status filebeatRevenons donc à kibana (sur l'explorateur internet, sur notre Win 11) :
- 4.png (82.36 Kio) Vu 3401 fois
- 5.png (152.34 Kio) Vu 3401 fois
Vous devez obtenir quelque chose comme ça, si tout est correct :
- 6.png (109.07 Kio) Vu 3401 fois
Vous devriez avoir ceci :
- 7.png (196.93 Kio) Vu 3401 fois
1) Choisissez ici le champ (par ex "destination.ip"
2) Vous avez ici le récupératif.
- 9.png (152.42 Kio) Vu 3401 fois
- 10.png (152.42 Kio) Vu 3401 fois
- 11.png (136.37 Kio) Vu 3401 fois
source : <https://www.elastic.co/docs/reference/b ... le-modules> et ChatGPT.