kjh00n의 기록저장소

ESM 구축 본문

보안관제 기획운영

ESM 구축

kjh00n 2025. 2. 4. 11:34

CentOS에 강사님이 나눠주신 jdk파일, elasticsearch, kibana 파일들을 바탕화면 옮기기 

파일들을 /usr/local/src/에 옮겨주기
jdk 설치

경로 옮기고 설치해야된다~

elasticsearch 설치
vim /etc/elasticsearch/elasticsearch.yml (elasticsearch 설정 파일)
elasticsearch가 ipv6로 동작하기 때문에 ipv6를 비활성화 시켜줌
elasticsearch 실행
9200은 내부통신용 / 9300은 외부통신용
kibana 압축해제
kibana 기본 설정파일 들어가기
28번째 줄은 elasticsearch와 연결하려는 세팅임
bin /kibana를 입력하면 kibana 실행 (위 경로에서 실행해야 함)
실행이 된 모습

rdate -s time.bora.net 으로 시간 동기화 시키기

IPtables 설정

Rocky Linux 192.168.50.100으로 설정 (방화벽으로 사용할거임) (로그를 수집하고 가공해서 elasticsearch로 전송하려고)

filebeat, logstash를 설치해야함

파일들 옮겨주기

 

경로 이동해주고 옮긴 파일들 모두 설치하기

filebeat 설정

권한 바꿔주기
vim filebeat.yml 설정

143,145 주석처리 / 153,155 주석해제 해주기

vim /etc/rsyslog.conf 설정

systemctl restart rsyslog.service

icmp를 감지하는 정책 설정
ping 8.8.8.8로 했을 때 /var/log/iptables.log에 기록되는 로그들

logstash 설정

bin/logstash -e 'input { stdin {}} output { stdout {}}' 는 logstash를 test로 실행
실행시키고 test로 입력하면 밑에처럼 출력된다
3은 주석처리 / 4는 입력해서 시간 동기화하기 / systemctl restart chronyd로 시간동기화 해주기
만들어주기

3가지 설정을 해줘야함 (가공되기 전, 어떤 식으로 가공할 것인가, 가공된 데이터를 어떻게 처리할 것인가)

Samples에는 /var/log/iptables.log의 기록하나를 복사해서 붙여넣기
경로 이동
vim iptables.grok
logstash 실행 명령어
filebeat 실행 명령어
입력했을 시 화면
elasticsearch와 logstash가 연결되었음
위 사진처럼 설정후 재생버튼 클릭
저장하기
대쉬보드에 추가하기
데이터 시각화 완료

Rocky Linux

Rocky Linux에 Network Adapter를 하나 더 추가해서 10.10.10.254에 VMnet1로 설정해주기

방화벽 정책 설정해주기

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o ens160 MASQUERADE

iptables -A FORWARD -p icmp -j LOG --log-prefix "[ICMP_DETECT] "

XP

VMnet1로 설정해주기

CentOS

curl -X DELETE "localhost:9200/iptables?pretty"

→ 기존에 있던 iptables 삭제

이제 kibana 실행

→ bin/kibana (kibana가 깔려있는 경로가서 실행해야함)

이제 이후에 filebear와 logstash 실행시키기 (Rocky Linux)

filebeat 실행

→ ./filebeat -e -c filebeat.yml -d "publish"

logstash 실행

→ bin/logstash -f config/iptables-log.conf --config.reload.automatic

※둘 다 설치된 경로가서 실행해야함

tail -f /var/log/iptables.log입력

그리고 XP에서 ping 8.8.8.8 -t 입력

tail -f /var/log/iptables.log에서 기록되는 로그들
filebeat를 실행하면 출력되는 결과물
WIN10에서 kibana 접속 → Management → Index Patterns
설정한 모습
Visualize에서 Vertical Bar로 설정하고 iptables로 설정하기 / 그리고 우측 상단 Save → XP ping1로 저장하기
Visualize에서 Pie로 설정하고 iptables로 설정하기 / 그리고 우측 상단 Save → XP ping2로 저장하기
DashBoard에서 XP ping1,2를 클릭해서 저장

→ 설정한 Log 정책들을 한번에 볼 수 있음