tentang linux

Konfigurasi elastiflow

Hallo kawan dalam penulisan ini kita akan membahas cara konfigurasi elastiflow

Tools yang kita gunakan antara lain :

 

OS : Ubuntu 18.04 LTS

Package :

Elasticsearch 7.6

Logstash 7.6

Kibana 7.6

 

  1. Install openjdk pada ubuntu kalian

sudo apt install default-jdk

sudo apt install openjdk-8-jdk

export JAVA_HOME=/usr/lib/jvm/java-8-openjdk-amd64

2. Download Elastisearch pada ubuntu jika tidak ada download di link bawah :

https://www.elastic.co/downloads/elasticsearch

3. Install package elasticsearch pada ubuntu

Sudo dpkg -i elasticsearch-7.6.0-amd64.deb

4. Edit file yang berada dalam /etc/elasticsearch/elasticsearch.yml

==============

network.host: localhost

http.port: 9200

==============

Service elasticsearch start

Systemctl daemon-reload

Buka di browser kalian menggunakan http://localhost:9200/

5. Download package Kibana pada link di bawah ini :

https://www.elastic.co/downloads/kibana

6. Install package kibana pada ubuntu kalian

sudo dpkg -i kibana-7.6.0-amd64.deb

7. Edit file yang berada dalam /etc/kibana/kibana.yml

=============

server.port: 5601

server.host: localhost

server.name: “oncom”

elasticsearch.hosts: [“http://localhost:9200”]

=============

Service kibana start

Buka browser kalian menggunakan http://localhost:5601

8. Download logstash pada ubuntu kalian

https://www.elastic.co/downloads/logstash

9. Install package logstash pada ubuntu kalian

Sudo dpkg -i logstash-7.6.0.deb

10. Download elastiflow pada link di bawah ini

https://github.com/robcowart/elastiflow/releases/tag/v4.0.0-beta1

11. Setting JVM Heap size logstash pada optionsdi recomendasikan antara lain:

xms4g

– xmx4g

12. Untuk menjalankan elastiflow kita membutuhkan sflow codec, Netflow codec, UDP input, DNS filter untuk menambahkan nya ikuti atau copy paste kan command line pada di bawah ini ke terminal kaliang :

/usr/share/logstash/bin/logstash-plugin install logstash-codec-sflow

/usr/share/logstash/bin/logstash-plugin update logstash-codec-netflow

/usr/share/logstash/bin/logstash-plugin update logstash-input-udp

/usr/share/logstash/bin/logstash-plugin update logstash-input-tcp

/usr/share/logstash/bin/logstash-plugin update logstash-filter-dns

/usr/share/logstash/bin/logstash-plugin update logstash-filter-geoip

/usr/share/logstash/bin/logstash-plugin update logstash-filter-translate

 

13. Ekstrak file elastiflow kalian tadi yang kalian download di github lalu pindahkan atau copy kan ekstrakan kalian pada /etc/logstash/

14. Tambahkan dalam pipeline.yml pada /etc/logstash sebagai berikut :

pipeline.id: elastiflow

path.config: “/etc/logstash/elastiflow/conf.d/*.conf”

15. Configure file logstash.confpada /etc/logstash/elastiflow/conf.d/:

output {

  elasticsearch {

    hosts => [ “${ELASTIFLOW_ES_HOST:locahost:1900}” ]

    ssl => “${ELASTIFLOW_ES_SSL_ENABLE:false}”

    ssl_certificate_verification => “${ELASTIFLOW_ES_SSL_VERIFY:false}”

    # If ssl_certificate_verification is true, uncomment cacert and set the path to the certificate.

    #cacert => “/PATH/TO/CERT”

    user => “${ELASTIFLOW_ES_USER:elastic}”

    password => “${ELASTIFLOW_ES_PASSWD:changeme}”

    index => “elastiflow-4.0.0-%{+YYYY.MM.dd}”

    template => “${ELASTIFLOW_TEMPLATE_PATH:/etc/logstash/elastiflow/templates}/elastiflow.template.json”

    template_name => “elastiflow-4.0.0”

    template_overwrite => “true”

  }

}

 

16. Edit file yang berada dalam /etc/systemd/system/logstash.service.d/elastiflow.confmenjadi :

Environment=”ELASTIFLOW_ES_HOST=localhost:1900″

17. Jalankan logstash sebagi berikut

Service logstash start

Systemctl daemon-reload

Systemctl enable logstahs

18. Lalu kalian setup pada mikrotik kalian sebagai berikut:

Go to IP > Traffic Flow

Clisk target, dan kemudian tambahkan target traffic pada berikut ini

19. Setup pada kibana nya sebagai berikut

Go to management > saved object > import

Import elastiflow.kibana.7.5.x.ndjson

20. Setelah selesai import pada kibana dan lihat lah pada discover kalian

 

Dari sini kita bisa lihat dan bisa memantau jaringan mana saja yg sedang ssh dari luar dan sebagainya

 

Kurang lebih mohon maaf, kritik dan saran nya di persilahkan di bagian komentar bawah ini

 

Comments (2)

  1. Great content! Super high-quality! Keep it up! 🙂

Comment here