Série de Blog sobre SIEM & Monitoramento: ELK Stack
Nesta segunda parte de nossa mini-série sobre ELK Stack dentro da mais ampla Série de Blog sobre SIEM & Monitoramento, mudamos de conceitos fundamentais para implementação prática. Este post orienta você na configuração de um ambiente de teste ELK funcional usando Docker em uma máquina virtual Ubuntu, proporcionando um espaço para explorar como Elasticsearch, Logstash e Kibana trabalham juntos para processar e visualizar dados.
Se você é um administrador de backup ou um profissional de TI, este guia oferece um laboratório personalizável onde você pode experimentar a análise de mensagens Syslog de Veeam Backup & Replicação e encaminhá-las para sua pilha ELK. O objetivo é fornecer um ambiente seguro e flexível para aprendizado e testes, não para implantação em produção.
Configuração do Docker
Requisitos: Você precisará de uma VM de servidor Ubuntu.
1. Primeiro, instalaremos o docker:
sudo apt install docker.io
sudo apt install docker-compose -y
sudo usermod -aG docker $USER
2. Faça logout e faça login novamente, ou execute um destes comandos:
source ~/.bashrc
exec bash
3. Faça logout e faça login novamente para verificar se o Docker foi instalado com sucesso.
docker --version
docker compose version
4. Dependendo da versão, o comando Docker Compose pode aparecer assim:
5. Clone este repositório do GitHub: https://github.com/object1st/elk-stack.git
git clone https://github.com/object1st/elk-stack.git
6. Acesse a pasta.
cd elk-stack/
7. Execute este comando: docker-compose up –d.
8. Os contêineres serão baixados e, em seguida, iniciados.
9. Verifique se um dos seguintes contêineres está em execução:
docker ps
docker-compose ps
Acessando o Kibana em Seu Navegador
Agora que tudo está configurado, você pode abrir o Kibana em seu navegador. Por padrão, o Kibana roda na porta 5601, então você precisará navegar até a URL apropriada com base em onde seu ambiente Docker está hospedado.
Por exemplo, se sua configuração Docker estiver rodando em uma VM chamada docker01, você deve ir para:
Se sua VM tiver um nome DNS personalizado como geoffsvm, então a URL seria: http://geoffsvm:5601
Alternativamente, se você não tiver um nome DNS configurado, pode usar o endereço IP da VM em vez disso:
http://[seu-ip-da-vm]:5601
No final, apenas certifique-se de que você está apontando para o host correto e usando a porta 5601, que é a padrão para o Kibana.
Nota: Se a qualquer momento você quiser começar do zero, execute os seguintes passos para apagar a configuração:
Para remover todos os contêineres, redes e volumes, execute os seguintes comandos:
docker compose down --volumes --remove-orphans
docker system prune -a --volumes -f
Configurando Veeam VBR para Enviar Dados Syslog para ELK
Para ingerir logs em nossa configuração e ver como está funcionando, configuraremos Veeam VBR para encaminhar suas mensagens syslog para o ELK:
1. Vá ao menu suspenso no canto superior esquerdo e clique em “Opções.”
2. Em seguida, clique na “Aba de Encaminhamento de Eventos.”
3. Aqui, adicionaremos o servidor syslog que criamos no Docker.
Clique em “Adicionar” e digite os detalhes.
Em seguida, clique em:
“Aplicar” para salvar e fechar a janela.
“OK” para salvar e manter a janela aberta.
Uma vez que você pressione aplicar ou ok, Veeam enviará sua primeira mensagem de teste syslog para o Elasticsearch.
Verifique a Descoberta de Logs no Kibana
1. Navegue de volta para a interface do Kibana.
2. No menu suspenso no canto superior esquerdo, clique em “Descobrir.” Lá você será apresentado a um convite para criar um novo Padrão de Índice, incluindo uma visão dos dados syslog por campo:
3. Clique em “Criar Padrão de Índice.”
4. Você pode ver que nosso servidor Elasticsearch já recebeu algumas mensagens syslog de Veeam. Quando você configura as configurações do servidor syslog em Veeam, ele automaticamente envia uma mensagem de teste. Isso permite que você verifique se seu sistema de monitoramento ou SIEM está recebendo os logs corretamente.
5. Nomearemos nosso Padrão de Índice como Veeam_Logs e usaremos um Padrão de Índice que corresponda aos logs já ingeridos.
6. Clique em “Salvar Padrão de Índice no Kibana.”
7. Pressione "Descobrir" no menu à esquerda da página para ver as mensagens de log do VBR.
Conclusão
Com seu laboratório ELK em funcionamento, você deu um grande passo em direção à construção de um ambiente SIEM funcional. Neste post, passamos pela configuração de contêineres Docker para Elasticsearch, Logstash e Kibana, configuramos um pipeline Logstash para mensagens syslog de Veeam e exploramos esses logs no Kibana. Agora você tem uma base sólida para ingerir e visualizar dados de log em um ambiente de teste controlado.
No post final desta mini-série no próximo mês, construiremos sobre essa base mergulhando na Elastic Security e explorando como ela aprimora a detecção de ameaças e alertas dentro do ecossistema ELK. Também apresentaremos o Fluentd como uma alternativa ao Logstash, comparando as duas ferramentas e mostrando como configurar o Fluentd para encaminhar logs para o Elasticsearch. Se você está interessado em casos de uso de monitoramento de segurança, criação de dashboards e otimização de seu pipeline de logs, não vai querer perder o que vem a seguir.
