{"id":1964,"date":"2021-09-07T08:35:45","date_gmt":"2021-09-07T06:35:45","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1964"},"modified":"2021-09-07T09:00:12","modified_gmt":"2021-09-07T07:00:12","slug":"il-mio-stack-elk","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1964","title":{"rendered":"Il mio stack ELK"},"content":{"rendered":"

Visto il momento attuale in cui la cyber criminalit\u00e0 la sta facendo da padrona, oltre al “pararsi le terga” in ogni modo possibile ed immaginabile una grossa fetta di lavoro \u00e8 anche spazzolarsi i log di sistema macchina per macchina per vedere se c’\u00e8 un qualcosa che non convince, ed \u00e8 un lavoraccio immane.
\nGuardando questo video<\/a> sul canale youtube di Sistemista Italiano che \u00e8 una vera miniera di idee, soluzioni, trucchi vari & assortiti per facilitarsi la vita, mi \u00e8 venuta l’idea\/voglia di fare una cosa del tipo.
\nFaccio una breve premessa, sia il video che i vari howto che si trovano in rete raccomandano di usare un web server come reverse proxy e di usare TLS.
\n\u00c8 giusto e sacrosanto come forma mentis, se dovessi monitorare i log di una macchina al di fuori della mia LAN non ci penserei nemmeno e farei alla stessa maniera, qui al nostro interno non mi sembra il caso di complicarsi(mi) la vita inutilmente, \u00e8 uno strumento che user\u00f2 solo io e di cui gli altri non saranno a conoscenza, dall’esterno \u00e8 molto difficile entrare anche per uno molto bravo, infatti l’unico modo per entrare \u00e8 avere una VPN valida o avere la chiave ssh su uno dei nodi perimetrali.
\nQuindi ho optato coscientemente per una soluzione che passa il traffico in chiaro, per altro nel momento in cui mi rendessi conto di avere questa necessit\u00e0 non sarebbe un lavoro eccessivamente complesso aggiungerla.
\nLo stack ELK acronimo per Elasticsearch Logstash Kibana \u00e8 uno stack composto da tre prodotti open source gestiti da Elastic<\/a><\/p>\n

Elasticsearch <\/strong>\u00e8 un database NoSQL
\nLogstash<\/strong> \u00e8 uno strumento di pipeline <\/em>di log che accetta <\/strong>input da varie fonti
\nKibana <\/strong>\u00e8 una dashboard di visualizzazione che funziona su Elasticsearch
\nLo stack comprende anche Beats che e’ un log shipper o log forwarder che completa la suite.
\nLa nota a mio avviso dolente di tutto questo \u00e8 che per funzionare si appoggia a java, e io sono notoriamente abbastanza allergico a java, ma \u00e8 un mio problema.
\nLa distribuzione su cui ho lavorato \u00e8 una Devuan 3.1 attuale stable, i passi per abilitare i repository di elastic sulla macchina che far\u00e0 da server e su quelle che saranno i client (le macchine perimetrali) sono i seguenti:
\nwget -qO – https:\/\/artifacts.elastic.co\/GPG-KEY-elasticsearch | apt-key add –
\necho “deb https:\/\/artifacts.elastic.co\/packages\/oss-7.x\/apt stable main” | tee -a \/etc\/apt\/sources.list.d\/elastic-7.x.list
\napt-get update<\/p>\n

server<\/a><\/p>\n

client<\/a><\/p>\n

Una volta finito di configurare e aver lanciato i demoni con un browser puntare ad ardito:5601
\n\"\"<\/p>\n

 <\/p>\n

e cliccando su Manage si aprir\u00e0 quest’altra schermata<\/p>\n

 <\/p>\n

\"\"<\/p>\n

dove a sinistra cliccheremo su index pattern sotto il men\u00f9 kibana e avremo questa schermata<\/p>\n

\"\"<\/p>\n

cliccando su create index pattern avremo<\/p>\n

\"\"<\/p>\n

nella riga create index pattern inseriremo filebeat* e quindi next step<\/p>\n

\"\"<\/p>\n

dove nel men\u00f9 a tendina a sinistra andremo a scegliere @timestamp e quindi a destra create index pattern che fornir\u00e0<\/p>\n

\"\"<\/p>\n

dove si possono trovare tutti i campi che sono stati creati, cliccando in alto a sinistra su elastic si torna alal schermata principale da cui siam partiti e cliccando di nuovo su kibana avremo<\/p>\n

\"\"<\/p>\n

dove cliccando su Discover avremo<\/p>\n

\"\"<\/p>\n

che ci indica che i nostri nodi stanno effettivamente spedendo informazioni al server, cliccando sulla freccina a sinistra di ogni record si apre una pagina con una marea di informazioni a riguardo.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Visto il momento attuale in cui la cyber criminalit\u00e0 la sta facendo da padrona, oltre al “pararsi le terga” in ogni modo possibile ed immaginabile una grossa fetta di lavoro \u00e8 anche spazzolarsi i log di sistema macchina per macchina per vedere se c’\u00e8 un qualcosa che non convince, ed \u00e8 un lavoraccio immane. Guardando […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[109,110,8,14,204,6],"tags":[136,213,215,55],"class_list":["post-1964","post","type-post","status-publish","format-standard","hentry","category-firewall","category-ids","category-linux","category-networking","category-web-application","category-work","tag-devuan","tag-elk","tag-log","tag-monitoring"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1964"}],"version-history":[{"count":12,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1964\/revisions"}],"predecessor-version":[{"id":1999,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1964\/revisions\/1999"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1964"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}