Filebeat es uno de los más versátiles de la familia beat, con una larga lista de módulos que soportan el envío de datos a una pila de Elastic.
Filebeat actúa como un coleccionista más que como un transportista de los registros de NetFlow, así que lo está configurando para recibir los registros de NetFlow de sus diversas fuentes. Siendo así, puede instalar Filebeat en la plataforma que desee siempre que esté configurado para enviar los datos que recoja y analice a los nodos Kibana y Elastic apropiados.
Descargar e instalar Filebeat
Descargue el archivo de instalación de la arquitectura correcta para Filebeat de Elastic.
Para esta guía, siga instalando el paquete de rpm para el CentOS 7.
Desde la línea de comandos, usa curl para descargar el paquete de rpm e instalar con el comando rpm.
12[usuario]$ curl -L -O https://artifacts.Elastic.co/downloads/beats/Filebeat/Filebeat-7.4.0-x86_64.rpm[usuario]$ sudo rpm -vi Filebeat-7.4.0-x86_64.rpm
Filebeat se instala en la carpeta /etc/filbeat y, al igual que los otros productos de Elasticsearch, requiere cierta configuración y modificación de archivos para ponerse en marcha.
Configurar Filebeat
Edita el archivo de configuración para que apunte a las instancias de Elasticsearch y Kibana previamente configuradas con nano.
1[usuario]$ sudo nano /etc/Filebeat/filbeat.yml
En la sección de Kibana, encuentra la variable del huésped.
Cámbialo a la dirección IP externa expuesta configurada para el servicio de Kibana. Si instalas Filebeats en el mismo dispositivo que el nodo Kibana, no está escuchando en el localhost, sino en la IP externa configurada con 0.0.0.0.
Entonces encuentra Elasticsearch en la sección de resultados y cambia la variable de los anfitriones.
Ponlo en la dirección IP externa configurada para el servicio de Elasticsearch. De manera similar, si el nodo Elastic está en la misma interfaz de dispositivo en la que está instalado Filebeat, configúrelo con 0.0.0.0
Salir de nano, guardando la configuración con ctrl+x , y para guardar los cambios, y entrar para escribir en el nombre de archivo existente «Filebeat.yml.
Configurar el módulo Netflow
Ahora es el momento de habilitar y configurar el módulo Netflow y ejecutar la configuración de Filebeat para conectarse a la pila de Elasticsearch y subir patrones de índice y tableros.
Nota: Esta entrada soporta las versiones 1, 5, 6, 7, 8 y 9 de NetFlow, así como el IPFIX. Para las versiones de NetFlow anteriores a la 9, los campos se asignan automáticamente a NetFlow v9.
Primero, habilite el módulo NetFlow.
1[usuario]$ sudo Los módulos Filebeat permiten el netflow
Encuentra la configuración de netflow.yml localizada en el directorio modules.d dentro de la ubicación de instalación de /etc/Filebeat. Fíjese que es el único archivo sin el designador .disabled adjunto.
Edita este archivo de configuración con nano.
1[usuario]$ sudo nano /etc/Filebeat/modules.d/netflow.yml
Para asegurarse de que el servicio Filebeat está escuchando en un puerto externo disponible, cambie el localhost a 0.0.0.0 y deje el puerto 2055 por defecto.
Salir de nano, guardando la configuración con ctrl+x , y para guardar los cambios, y entrar para escribir en el nombre de archivo existente «netflow.yml».
El resto de las opciones se pueden encontrar aquí: https://www.Elastic.co/guide/en/beats/Filebeat/master/Filebeat-input-netflow.html.
Pruebe los archivos de configuración.
1[usuario]$ sudo Filebeat test config
Si su configuración es correcta, ejecute la configuración inicial de Filebeat para cargar los cuadros de mando, plantillas, índices y validar aún más los ajustes de la configuración.
Nota: Si estás ejecutando Filebeat 7.4 con una versión inferior de Elasticsearch, los dashboards no son todos compatibles, en particular el dashboard Filebeat-aws-s3access-overview.json, y lanza un error. Actualice Elastic SIEM o navegue al directorio /usr/share/Filebeat/Kibana/7/dashboard y mueva ese archivo a una ubicación diferente. Luego vuelve a ejecutar la configuración de Filebeat.
1[usuario]$ sudo Configuración de Filebeat -e
Configurar el Firewall
Para permitir el tráfico UDP desde las fuentes de NetFlow al dispositivo que ejecuta Filebeats, hay que crear una regla de cortafuegos para ese puerto y protocolo ejecutando los siguientes comandos.
123[usuario]$ firewall-cmd --permanente --add-port 2055/udp[usuario]$ firewall-cmd --reload[usuario]$ firewall-cmd --list-all
Run File Beats
Luego ejecute Filebeats usando la bandera -e para enviar la actividad a la consola. De nuevo, sólo para asegurarnos de que todo funciona correctamente.
1[usuario]$ Filebeat -e
Filebeat ahora se sienta y escucha en el puerto UDP 2055 para que una fuente de NetFlow le envíe datos.
Si se siente cómodo de que todo funciona correctamente, puede ejecutar el servicio Filebeats, y las configuraciones siguen siendo válidas.
Configurar la fuente de Netflow
Ahora necesitas configurar tu fuente de Netflow. Muchos productos tienen salida de NetFlow que puede configurar para que apunte hacia el colector Filebeat NetFlow. Para esta guía, usted va a recorrer la configuración de un switch virtual distribuido en el vSphere vCenter y proporcionar una ventana a la gestión del tráfico virtual sin afectar a los recursos de la empresa.
Otras fuentes potenciales incluyen dispositivos Cisco (es un estándar propietario de Cisco después de todo), dispositivos Juniper, VMware Virtual Networking, AWS VPC, y más!
Primero, entra en vCenter y navega a la sección de redes. Selecciona el switch virtual distribuido que quieres configurar y elige la sección de Netflow, y luego haz clic en para editar la configuración .
Escriba la dirección IP del colector y el puerto del colector del colector NetFlow. Puede ponerse en contacto con el colector NetFlow por la dirección IPv4 o IPv6. Si va a configurar más de un cambio, el identificador en consecuencia, y deje el IP del interruptor en blanco. Deje todas las demás configuraciones en forma predeterminada.
A continuación, seleccione los enlaces ascendentes para el VDS, las propiedades y haga clic en edit . Seleccione la sección de monitoreo y utilice el menú desplegable para cambiar la configuración de NetFlow a enabled .
A continuación, seleccione el grupo de puertos para el VDS, propiedades, y haga clic en edit . Seleccione la sección de monitoreo y utilice el menú desplegable para cambiar la configuración de NetFlow a enabled .