Elasticsearch + Kibana 한방설치

Elasticsearch를 기본으로 사용하면 설정이 쉽지만 인증 추가 /내부 통신 암호화 / HTTPS 적용까지 적용하려면 작업할 내용들이 많이 있습니다.

그리고 SIEM 을 사용하려면 기본적으로 HTTPS 인증까지 설치되어 있어야 합니다.

Docker를 사용해도 되지만 실무에서 Docker 설치해서 사용하지는 않습니다.

그래서 한방 설치가 가능하도록 정리한 사이트를 소개합니다.

 

1. Elasticsearch 설치

다른 설치 문서들을 보셨겠지만, 많이 복잡합니다.

그래서 한번에 설치할 수 있는 스크립트를 만들었습니다.

sudo su – (root로 로그인 후 설치)

# curl -O https://raw.githubusercontent.com/GamjaPower/ELP/master/scripts/siem_centos7.sh

siem_centos7.sh script 파일을 열어서 아래 내용을 환경에 맞게 수정하면 됩니다.

DNS가 할당되지 않은 상태이면 호스트 이름에 .local을 추가해주면 됩니다.

HOST_IP=192.168.0.221

HOST_DNS=”node01.local”

HOST_NAME=”node01″

스크립트 실행

# bash ./siem_centos7.sh

***** 설치가 완료되면 자동으로 재부팅됩니다. *****

2. Elasticsearch 설정

기본적인 설정은 1번에서 모두 완료했고, 비밀번호 설정하는 부분이 남았습니다.

이것도 root로 로그인 한 후 아래 명령어 실행한 후 각 계정의 비밀번호를 설정합니다.

# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords interactive

3. HTTPS 설정

HTTPS 설정은 1번에서 모두 완료하였으나 비밀번호 설정 때문에 기능을 켜지 않았습니다.

파일 수정

# vi /etc/elasticsearch/elasticsearch.yml

xpack.security.http.ssl.enabled: true ( false — true 로 변경)

4. 서비스 재시작

# systemctl restart elasticsearch

5. 브라우저 접속 확인

https:// IP or DNS :9200

ID는 elastic을 사용하면 되고 비밀번호는 2번에서 설정한 비밀번호를 사용하면 됩니다.

정상적으로 접속되면 아래 화면을 볼 수 있습니다.

6. Kibana 설정

Kibana도 1번에서 설치 완료했고, 비밀번호만 수정해주면 됩니다.

# systemctl stop kibana

# vi /etc/kibana/kibana.yml

elasticsearch.password: password (비밀번호 수정)

# systemctl start kibana

7. Kibana 브라우저 오픈

https://DNS or IP:5601

ID는 elastic 입력하고 비밀번호는 설정해둔 비밀번호를 입력한다.

8. SIEM 앱 접속

SIEM 앱 접속 후 첫 화면입니다. 각종 비츠를 설치하라고 하네요. Beats 설치는 #3에 작성하겠습니다.

참고 사이트 : https://blog.naver.com/sst96/222029639283