Dopo aver installato OSSEC Server, installiamo su un altro sistema l’agent di OSSEC che invierà gli eventi all’OSSEC server.
(more…)
Apriamo la dashboard Syslog per analizzare i log inviati da Filebeat dei sistemi su cui è stato installato e configurato.
Kibana è una collezione di visualizzazioni, ricerche e mappe (in real-time); la fonte da cui Kibana preleva i dati è il motore Elasticsearch; i data-injector sono i Beats (tra cui Filebeat).
(more…)
Filebeat fornisce una serie di moduli preconfigurati che permettono di pre-analizzare i file di log sulle macchine su cui è installato, inviarli ad Elaticsearch/Logstash, e visualizzarli su dashboard preconfezionate in Kibana. Questi moduli supportano formati di registro comuni quali Nginx, Apache 2, MySQL, ….. (more…)
Filebeat è un data-injection dello Stack Eastic che permette la raccolta di dati e l’invio verso lo Stack (direttamente a Elasticsearch o tramite Logstash). Viene fornito con moduli built-in interni (Apache, Cisco ASA, Microsoft Azure, NGINX, MySQL e altri) che, tramite processi di apprendimento automatico preconfigurati, semplificano la raccolta, l’analisi e la visualizzazione dei formati di registro comuni.
Arricchiamo il nostro stack Elastic con l’installazione di X-Pack, un’estensione che aggiunge sicurezza e numerose feature importanti (alerting, monitoring, reporting, search profiler, Grok Debugger, machine learning, zoom levels in Elastic Maps Service, dedicated APM UIs, …).
Procediamo con l’installazione di Kibana, la parte dello Stack che ci permette di visualizzare ed analizzare i dati contenuti in Elasticsearch. (more…)
Elasticsearch è il motore di ricerca e analisi distribuito al centro dello stack Elastic. I vantaggi principali di Elasticsearch possono essere così brevemente riassunti:
ELK è l’acronimo di tre progetti open-source: Elasticsearch Elastcsearch è un motore di ricerca ed analisi opensource, RESTful (ossia basato su architettura distribuita e quindi flessibile e scalabile) e basato su JSON. Logstash Logstash è una pipeline di elaborazione dati, che prende come input dati da sorgenti eterogenee e in Read more…
Per l’installazione di OSSEC, utilizzeremo e configureremo l’ atomicorp repository. Esistono i repository per le maggiori distribuzioni Linux (potete consultare a questo indirizzo la lista completa). Esiste anche la possibilità di installare OSSEC tramite sorgenti oppure scaricare la VirtualAppliance (basata su CentOS 7.4, OSSEC 2.9.3, Elasticsearch-Logstash-Kibana 6.1.1 e Cerebro 0.7.2).