😛
安全运营指南
  • 序言
  • 1 序言
    • 1.1 简介
  • 10 主动防御
    • 10 主动防御
  • 11 安全审计
    • audit
    • osquery
    • sysmon
  • 12 告警手段
    • ESalert告警
    • wazuh邮件告警
    • 自定义告警
  • 13 指标可视化
    • grafana
    • kibana
    • splunk
  • 14 SIEM框架
    • clickhouse
    • splunk
  • 15 nids
    • suricata
  • 16 SIEM集成虚拟机
    • misp
    • ossim
    • selks
    • siemonster
    • wazuh
  • 2 wazuh安装配置
    • 2.1 系统架构
    • 2.2 wazuh管理端安装
      • 2.2.1 Centos 7安装
      • 2.2.2 Ubuntu 18.04安装
    • 2.3 wazuh代理端安装
      • 2.3.3 Windows安装
      • 2.3.1 Centos 7安装
      • 2.3.2 Ubuntu 18.04安装
    • 2.4 管理端与代理端通信
      • 2.4.1 LINUX系统通信
      • 2.4.2 Windows系统通信
    • 2.5 puppet批量部署
      • 2.5.1 puppet server安装
      • 2.5.2 wazuh管理端安装
      • 2.5.3 Ubuntu代理端安装
      • 2.5.4 Windows代理端安装
      • 2.5.5 wazuh参数
    • 2.6 ansible批量部署
      • 2.6.1 ansible Linux 安装
      • 2.6.2 ansible windows安装
      • 2.6.3 wazuh参数
    • 2.7 无状态代理
  • 3 日志收集安装配置
    • 3.1 代理端收集日志
      • Linux日志收集
      • windows日志收集
      • 日志收集安装配置
      • 远程日志收集
    • 3.2 EL(F)K安装配置
      • 3.2.4 Logstash
      • 3.2.5 es集群
      • elasticsearch
      • filebeat
      • kibana
    • 3.3 EL(F)K安装配置(开源)
    • 3.4 splunk安装配置
      • 3.3.1 splunk server
      • 3.3.2 splunk wazuh app
      • 3.3.3 splunk forward
    • 3.5 ELK鉴权机制
      • 3.5.1 HTTP认证
      • 3.5.2 HTTPS认证
    • 3.6 wazuh鉴权机制
      • 3.6.1 管理端与代理端通信
      • 3.6.2 wazuhAPI认证
    • 3.7 syslog导出
  • 4 wazuh共享和集群
    • 4.1 wazuh共享
    • 4.2 wazuh集群
  • 5 文件完整性监控
    • 5.1 功能描述
    • 5.2 实战操作
  • 6 异常和恶意软件检测
    • clamav检测
    • VirusTotal检测
    • 本地规则检测
  • 7 安全基线检测
    • 7.1 安全基线简介
    • 7.2 SCA
    • 7.3 openscap
  • 8 命令内容监控
    • 8.1 命令内容监控
  • 9 主机安全漏洞检测
    • 9.1 配置漏洞扫描
由 GitBook 提供支持
在本页
  • 单节点
  • ES集群

这有帮助吗?

  1. 3 日志收集安装配置
  2. 3.2 EL(F)K安装配置

elasticsearch

单节点

elasticsearch(ES)是一款搜索和数据分布式实时分析引擎,可以对文档进行实时存储和查询。可以将它理解成一个数据库,存放内容到字段形成索引,查询就能够直接去查询索引内容,可以减少查询时间。

导入GPG密钥和添加yum仓库

[root@EK ~]# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
[root@EK ~]# cat > /etc/yum.repos.d/elastic.repo << EOF
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

使用yum命令安装elasticsearch

yum install -y elasticsearch-7.11.2

不过使用yum安装elasticsearch的速度非常慢,通过迅雷直接下载elasticsearch直链就非常快。下载地址:

#7.11.2版本类型选择
https://www.elastic.co/cn/downloads/past-releases/elasticsearch-7-11-2
#选择rpm包
https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.11.2-x86_64.rpm

rpm命令本地安装elasticsearch

按照提示,设置elasticsearch开机启动和服务启动

[root@EK ~]# systemctl daemon-reload
[root@EK ~]# systemctl enable elasticsearch.service
Created symlink from /etc/systemd/system/multi-user.target.wants/elasticsearch.service to /usr/lib/systemd/system/elasticsearch.service.
[root@EK ~]# systemctl start elasticsearch

查看elasticsearch服务启动状态

由于Elasticsearch监听端口默认是本地9200端口,这样会导致在其他服务器的日志无法转发日志过来,所以需要设置对外的网卡IP。

通过编辑**/etc/elasticsearch/elasticsearch.yml文件,找到network.host**这个参数,将127.0.0.1修改成0.0.0.0或者这台服务器的IP地址192.168.1.201。

接着还需要找到node.name这个参数位置,将前面的注释符号删掉。这边使用默认的节点名字,这个节点名字可以随便写。

找到cluster.initial_master_nodes这个参数,修改成如下

cluster.initial_master_nodes: ["node-1"]

具体文件配置就如下所示

[root@EK ~]# cat /etc/elasticsearch/elasticsearch.yml 
node.name: node-1
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
http.port: 9200
cluster.initial_master_nodes: ["node-1"]

把服务重启一下,systemctl restart elasticsearch。

查看端口启动情况,可以看到9200端口开始监听,代表elasticsearch启动成功。使用curl命令请求elasticsearch地址。

ES集群

根据实际生产环境测试,一旦代理端数目多起来,使用一台ES查询的速度是非常慢的,所以需要ES集群加快查询的速度。 按照网络架构图,es的集群是ES-2(192.168.1.202),ES-3(192.168.1.203),其中这两台的安装过程就不演示,按照es的安装教程进行安装。

ES节点1(192.168.1.201)配置文件

[root@EK ~]# cat /etc/elasticsearch/elasticsearch.yml 
node.name: node-1
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
http.port: 9200
discovery.seed_hosts: ["192.168.1.201","192.168.1.202","192.168.1.203"]
cluster.initial_master_nodes: ["node-1","node-2","node-3"]

ES节点2(192.168.1.202)配置文件

[root@EK ~]# cat /etc/elasticsearch/elasticsearch.yml 
node.name: node-2
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
http.port: 9200
discovery.seed_hosts: ["192.168.1.201","192.168.1.202","192.168.1.203"]
cluster.initial_master_nodes: ["node-1","node-2","node-3"]

ES节点3(192.168.1.203)配置文件

[root@EK ~]# cat /etc/elasticsearch/elasticsearch.yml 
node.name: node-3
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
network.host: 0.0.0.0
http.port: 9200
discovery.seed_hosts: ["192.168.1.201","192.168.1.202","192.168.1.203"]
cluster.initial_master_nodes: ["node-1","node-2","node-3"]

配置完成之后,重启三台es服务。查看ES集群健康情况,可以发现节点数已经有三个了,说明彼此之间已经成功通信。

[root@EK ~]# curl http://192.168.1.201:9200/_cat/nodes
192.168.1.201 32 29 1 0.05 0.09 0.17 cdhilmrstw * node-1
192.168.1.202 9 68 0 0.20 0.38 0.27 cdhilmrstw * node-2
192.168.1.203 10 68 60 1.27 0.71 0.40 cdhilmrstw * node-3
上一页3.2.5 es集群下一页filebeat

最后更新于1年前

这有帮助吗?