ELASTIC STACK

installatie

Ubuntu 22.04 LTS

• Maak een virtuele machine met minstens 4GB RAM en 32GB Disk
• Installeer Ubuntu 22.04 Minimal install
○ Server versie als Bridged mode werkt
○ Desktop versie als briged mode niet werkt

Na installatie

○ sudo apt update
○ sudo apt upgrade -y
○ sudo apt install sudo nano curl wget -y

Installatie stack

○ sudo -i (voeren script uiot als root)
○ wget -qO – https://barttho.be/data/elastic-stack.sh | bash

•  Starten van Elasticsearch

○ Als root (sudo -i)
open het bestand instellen.txt met cat (cat instellen.txt) daarin vinden we de commando’s terug.

  1. Elasticsearch starten: systemctl start elasticsearch
  2. Paswoord instellen: /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic -i

• Starten van Kibana

  1. Kibana-config aanpassen: nano /etc/kibana/kibana.yml

    server.host: “0.0.0.0”
    ctrl+o en ctrl+x

  2. Kibana starten: systemctl start kibana
  3. Surf naar http://localhost of IP:5601
  4. Token voor Kibana genereren: /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token –scope kibana
  5. Code genereren voor Kibana: /usr/share/kibana/bin/kibana-verification-code
  6. Login op kibana :
    user: elastic
    password: zie stap 2

Add Fleet Server

Kibana:
○ Kies Menu | Management | Fleet
○ Add Fleet Server
  1. Name: Mijn_Fleet
  2. URL: https://SERVER_IP:8220
  3.  Generate Fleet Server policy
  4. Kies voor installatie via “DEB”
Ubuntu : 
Voer het gegenereerde script uit in een ubuntu shell
 

Na uitvoer zie je in de browser de boodschap:

Fleet Server connected

You can now continue enrolling agents with Fleet. 

Add Windows server

  • Menu: Management | Integrations
  •  Zoek op Windows
  • Kies : Windows
  • Klik rechtsboven op “Add Windows”
    • Name: Windows Server
    • Rechtsonder: “Save And Continue”
    • Add Elastic Agent to your host

    • Add agent

       
      Add Elastic Agents to your hosts to collect data and send it to the Elastic Stack.
       
    • Kies “Enroll in Fleet”
    • Kies script “Windows”
    • Voer dit uit in powershell met admin rechten !!!

Add Linux Webserver

• Als ROOT
• sudo apt update
• sudo apt upgrade
• sudo apt install nano cron wget curl
• wget -O – https://barttho.be/linux/elastic-web.sh | bash 
○ systemctl enable nginx
○ systemctl start nginx
○ systemctl status nginx
○ http://[IP ADDRESS]
• Auto brows
○ Cd elastic-web
○ cp urls.txt /etc/
○ cp webtest /home/bart/                                                                                                                                      
○ chmod 755 /home/bart/webtest                                                                                                                                
○ chown bart:bart /home/bart/webtest  
○ Exit     (als root – ron laten we lopen als gewone user)
○ Crontab -e
○ ./webtest
○ Crontab -e 
○ */2 * * * *    /home/bart/webtest > webtest.log
 
 
○ Installatie Agent
○ curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.12.1-amd64.deb 
○ sudo dpkg -i elastic-agent-8.12.1-amd64.deb
○ sudo elastic-agent enroll 
   –url=https://[IP ADDRESS]:8220 
   –enrollment-    token=…== 
   –insecure