Prática Prática com a Pilha ELK

Série de Blog sobre SIEM & Monitoramento: ELK Stack

Nesta segunda parte de nossa mini-série sobre ELK Stack dentro da mais ampla Série de Blog sobre SIEM & Monitoramento, mudamos de conceitos fundamentais para implementação prática. Este post orienta você na configuração de um ambiente de teste ELK funcional usando Docker em uma máquina virtual Ubuntu, proporcionando um espaço para explorar como Elasticsearch, Logstash e Kibana trabalham juntos para processar e visualizar dados. 

Se você é um administrador de backup ou um profissional de TI, este guia oferece um laboratório personalizável onde você pode experimentar a análise de mensagens Syslog de Veeam Backup & Replicação e encaminhá-las para sua pilha ELK. O objetivo é fornecer um ambiente seguro e flexível para aprendizado e testes, não para implantação em produção. 

Configuração do Docker 

Requisitos: Você precisará de uma VM de servidor Ubuntu.  

1. Primeiro, vamos instalar o docker: 

sudo apt install docker.io  
sudo apt install docker-compose -y 
sudo usermod -aG docker $USER 

2. Faça logout e faça login novamente, ou execute um destes comandos: 

source ~/.bashrc

 

exec bash

3. Faça logout e faça login novamente para verificar se o Docker foi instalado com sucesso. 

docker --version
docker compose version

4. Dependendo da versão, o comando do Docker Compose pode aparecer assim: 

5. Clone este repositório do GitHub: https://github.com/object1st/elk-stack.git 

git clone https://github.com/object1st/elk-stack.git

6. Acesse a pasta. 

cd elk-stack/

7. Execute este comando:

docker-compose up -d

8. Os contêineres serão baixados e, em seguida, iniciados. 

9. Verifique se algum dos seguintes contêineres está em execução: 

docker ps
docker-compose ps

Acessando o Kibana em Seu Navegador 

Agora que tudo está configurado, você pode abrir o Kibana em seu navegador. Por padrão, o Kibana roda na porta 5601, então você precisará navegar até a URL apropriada com base em onde seu ambiente Docker está hospedado. 

Por exemplo, se sua configuração Docker estiver rodando em uma VM chamada docker01, você deve ir para: 

http://docker01:5601 

Se sua VM tiver um nome DNS personalizado como geoffsvm, então a URL seria: http://geoffsvm:5601 

Alternativamente, se você não tiver um nome DNS configurado, pode usar o endereço IP da VM em vez disso: 

http://[seu-ip-da-vm]:5601:5601

Por fim, apenas certifique-se de que você está apontando para o host correto e usando a porta 5601, que é a padrão para o Kibana. 

Nota: Se a qualquer momento você quiser começar do zero, execute os seguintes passos para apagar a configuração: 

Para remover todos os contêineres, redes e volumes, execute os seguintes comandos: 

docker compose down --volumes --remove-orphans
docker system prune -a --volumes -f

Configurando Veeam VBR para Enviar Dados Syslog para ELK 

Para ingerir logs em nossa configuração e ver como está funcionando, configuraremos Veeam VBR para encaminhar suas mensagens syslog para o ELK: 

1. Vá ao menu suspenso no canto superior esquerdo e clique em “Opções.” 

2. Em seguida, clique na “Aba de Encaminhamento de Eventos.” 

3. Aqui, adicionaremos o servidor syslog que criamos no Docker. Clique em “Adicionar” e digite os detalhes. Em seguida, clique em: 

• “Aplicar” para salvar e fechar a janela. 
• “OK” para salvar e manter a janela aberta.

Uma vez que você pressione aplicar ou ok, Veeam enviará sua primeira mensagem de teste syslog para o Elasticsearch. 

Verificando a Descoberta de Logs no Kibana 

1. Navegue de volta para a interface do Kibana. 

2. No menu suspenso no canto superior esquerdo, clique em “Descobrir.” Lá você será apresentado a um convite para criar um novo Padrão de Índice, incluindo uma visualização dos dados syslog por campo: 

3. Clique em “Criar Padrão de Índice.” 

4. Você pode ver que nosso servidor Elasticsearch já recebeu algumas mensagens syslog de Veeam. Quando você configura as configurações do servidor syslog em Veeam, ele automaticamente envia uma mensagem de teste. Isso permite que você verifique se seu sistema de monitoramento ou SIEM está recebendo os logs corretamente.  

5. Nomearemos nosso Padrão de Índice como Veeam_Logs e usaremos um Padrão de Índice que corresponda aos logs já ingeridos. 

6. Clique em “Salvar Padrão de Índice no Kibana.”

7. Pressione "Descobrir" no menu do lado esquerdo da página para ver as mensagens de log do VBR. 

Conclusão 

Com seu laboratório ELK em funcionamento, você deu um grande passo em direção à construção de um ambiente SIEM funcional. Neste post, passamos pela configuração de contêineres Docker para Elasticsearch, Logstash e Kibana, configuramos um pipeline do Logstash para mensagens syslog de Veeam e exploramos esses logs no Kibana. Agora você tem uma base sólida para ingerir e visualizar dados de log em um ambiente de teste controlado. 

No próximo post da mini-série, construiremos sobre essa base mergulhando na Segurança Elastic e explorando como ela aprimora a detecção de ameaças e alertas dentro do ecossistema ELK. Também apresentaremos o Fluentd como uma alternativa ao Logstash, comparando as duas ferramentas e mostrando como configurar o Fluentd para encaminhar logs para o Elasticsearch. Se você está interessado em casos de uso de monitoramento de segurança, criação de dashboards e otimização de seu pipeline de logs, não vai querer perder o que vem a seguir.