Hallo kawan dalam penulisan ini kita akan membahas cara konfigurasi elastiflow
Tools yang kita gunakan antara lain :
OS : Ubuntu 18.04 LTS
Package :
Elasticsearch 7.6
Logstash 7.6
Kibana 7.6
- Install openjdk pada ubuntu kalian
sudo apt install default-jdk
sudo apt install openjdk-8-jdk
export JAVA_HOME=/usr/lib/jvm/java-8-openjdk-amd64
2. Download Elastisearch pada ubuntu jika tidak ada download di link bawah :
https://www.elastic.co/downloads/elasticsearch
3. Install package elasticsearch pada ubuntu
Sudo dpkg -i elasticsearch-7.6.0-amd64.deb
4. Edit file yang berada dalam /etc/elasticsearch/elasticsearch.yml
==============
network.host: localhost
http.port: 9200
==============
Service elasticsearch start
Systemctl daemon-reload
Buka di browser kalian menggunakan http://localhost:9200/
5. Download package Kibana pada link di bawah ini :
https://www.elastic.co/downloads/kibana
6. Install package kibana pada ubuntu kalian
sudo dpkg -i kibana-7.6.0-amd64.deb
7. Edit file yang berada dalam /etc/kibana/kibana.yml
=============
server.port: 5601
server.host: localhost
server.name: “oncom”
elasticsearch.hosts: [“http://localhost:9200”]
=============
Service kibana start
Buka browser kalian menggunakan http://localhost:5601
8. Download logstash pada ubuntu kalian
https://www.elastic.co/downloads/logstash
9. Install package logstash pada ubuntu kalian
Sudo dpkg -i logstash-7.6.0.deb
10. Download elastiflow pada link di bawah ini
https://github.com/robcowart/elastiflow/releases/tag/v4.0.0-beta1
11. Setting JVM Heap size logstash pada optionsdi recomendasikan antara lain:
– xms4g
– xmx4g
12. Untuk menjalankan elastiflow kita membutuhkan sflow codec, Netflow codec, UDP input, DNS filter untuk menambahkan nya ikuti atau copy paste kan command line pada di bawah ini ke terminal kaliang :
/usr/share/logstash/bin/logstash-plugin install logstash-codec-sflow
/usr/share/logstash/bin/logstash-plugin update logstash-codec-netflow
/usr/share/logstash/bin/logstash-plugin update logstash-input-udp
/usr/share/logstash/bin/logstash-plugin update logstash-input-tcp
/usr/share/logstash/bin/logstash-plugin update logstash-filter-dns
/usr/share/logstash/bin/logstash-plugin update logstash-filter-geoip
/usr/share/logstash/bin/logstash-plugin update logstash-filter-translate
13. Ekstrak file elastiflow kalian tadi yang kalian download di github lalu pindahkan atau copy kan ekstrakan kalian pada /etc/logstash/
14. Tambahkan dalam pipeline.yml pada /etc/logstash sebagai berikut :
– pipeline.id: elastiflow
path.config: “/etc/logstash/elastiflow/conf.d/*.conf”
15. Configure file logstash.confpada /etc/logstash/elastiflow/conf.d/:
output {
elasticsearch {
hosts => [ “${ELASTIFLOW_ES_HOST:locahost:1900}” ]
ssl => “${ELASTIFLOW_ES_SSL_ENABLE:false}”
ssl_certificate_verification => “${ELASTIFLOW_ES_SSL_VERIFY:false}”
# If ssl_certificate_verification is true, uncomment cacert and set the path to the certificate.
#cacert => “/PATH/TO/CERT”
user => “${ELASTIFLOW_ES_USER:elastic}”
password => “${ELASTIFLOW_ES_PASSWD:changeme}”
index => “elastiflow-4.0.0-%{+YYYY.MM.dd}”
template => “${ELASTIFLOW_TEMPLATE_PATH:/etc/logstash/elastiflow/templates}/elastiflow.template.json”
template_name => “elastiflow-4.0.0”
template_overwrite => “true”
}
}
16. Edit file yang berada dalam /etc/systemd/system/logstash.service.d/elastiflow.confmenjadi :
Environment=”ELASTIFLOW_ES_HOST=localhost:1900″
17. Jalankan logstash sebagi berikut
Service logstash start
Systemctl daemon-reload
Systemctl enable logstahs
18. Lalu kalian setup pada mikrotik kalian sebagai berikut:
Go to IP > Traffic Flow
Clisk target, dan kemudian tambahkan target traffic pada berikut ini
19. Setup pada kibana nya sebagai berikut
Go to management > saved object > import
Import elastiflow.kibana.7.5.x.ndjson
20. Setelah selesai import pada kibana dan lihat lah pada discover kalian
Dari sini kita bisa lihat dan bisa memantau jaringan mana saja yg sedang ssh dari luar dan sebagainya
Kurang lebih mohon maaf, kritik dan saran nya di persilahkan di bagian komentar bawah ini
Great content! Super high-quality! Keep it up! 🙂
thanks