DEV Community

Cover image for Elasticsearch, Kibana , Filebeat kullanarak Netflow verileri nasıl takip edilir?
Emre Karac for Açıklab

Posted on

1

Elasticsearch, Kibana , Filebeat kullanarak Netflow verileri nasıl takip edilir?

İlk önce Netflow verileri görüntülemek için uygun bir topoloji oluşturuyoruz.Sonrasında resimde 1 numaralı routerda netflow yapılandırması yapıyoruz.Netflow yapılnadırmasını nasıl yapılandırılacağını daha önceki yazımda görebilirsiniz.

Image description

Resimde 1 numaralı routerda netflow yapılandırmasını yaptıktan sonra 2 ve 3 numaralı bilgisayarları test için kullanırken 2 numaraları bilgisayarı aynı zamanda collector olarak kullanıyoruz.Netfow verilerini arayüzden izlemek için collector olan bilgisyarımızın kurulumlarına geçebiliriz.

Elasticsearch Kurulumumu

  • Genel imzalama anahtarını indirip yüklenir:


wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -


Enter fullscreen mode Exit fullscreen mode
  • Devam etmeden önce apt-transport-https paketini Debian'a kurmanız gerekir.


sudo apt-get install apt-transport-https


Enter fullscreen mode Exit fullscreen mode
  • Repository eklenir.


echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list


Enter fullscreen mode Exit fullscreen mode
  • Update yaparak yükleme tamamlanır.



sudo apt-get update && sudo apt-get install elasticsearch


Enter fullscreen mode Exit fullscreen mode
  • Kurulum yapıldıktan sonra /etc/elasticsearch/elasticsearch.yml dosyasını düzenlemek gerekir.

Image description

  • elasticsearch.yml dosyasında bu iki ayarı aktifleştirerek
  • eleasticsearc.service 'imizi başlatıyoruz.


systemctl start elasticsearch.service


Enter fullscreen mode Exit fullscreen mode
  • Başlattıktan sonra servisin durumunu kontrol ediyoruz.


systemctl start elasticsearch.service


Enter fullscreen mode Exit fullscreen mode
  • Elasticsearc kurulumunu böylece tamamlıyoruz.

Kibana Kurulumu

  • Aşağıdaki komut ile kuruluma başlıyoruz.


sudo apt-get update && sudo apt-get install kibana


Enter fullscreen mode Exit fullscreen mode

yüklenme tamamlandıktan sonra /etc/kibana/kibana.yml dizindeki .yml dosyasını düzenlemek gerekiyor.

Image description

  • Buradaki server.host kısmına elasticsearch'ün çalıştığı bilgisayarın IP'sini veriyoruz.Dosyayı bu şekilde düzenledikten sonra kaydedip kapatıyoruz. netflow'umuzu aktifleştiemek için aşağıdaki komutu kullanıyoruz. ```

systemctl start kibana


Enter fullscreen mode Exit fullscreen mode

systemctl status

- komutları ile kibana aracını başlatıp durumunu kontrol ediyoruz.

Enter fullscreen mode Exit fullscreen mode

ss-tulnp


- komutu ile 5601 ile 9200 portlarını çalıştığını kontrol ettikten sonra bilgisayrın ağı ile aynı ağda ise 
- http://localhost:5601 adresine giderek kibana'nın arayüzüne gidiyoruz.


![Image description](https://dev-to-uploads.s3.amazonaws.com/uploads/articles/ep4ahd34noilxjs49y58.png)



**Filebeat kurulumu**


- Kibana arayüzünde **add-integrations'a** tıklayarak netflow aracını aratıp indirme kılavuzunda işletim sistemine göre indirmeye başlıyoruz.



Enter fullscreen mode Exit fullscreen mode

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.17.21-amd64.deb


Enter fullscreen mode Exit fullscreen mode

sudo dpkg -i filebeat-7.17.21-amd64.deb



- yüklemeyi yaptıktan sonra **/etc/filebeat/filebeat.yml**dizinindeki .yml dosyasını düzenliyoruz.

Enter fullscreen mode Exit fullscreen mode

setup.ilm.overwrite: true


Enter fullscreen mode Exit fullscreen mode

filebeat.output:
elastic:
hosts: ["192.168.122.172:9200"]


Enter fullscreen mode Exit fullscreen mode

setup.dashboards.enabled: true{% raw %}
``

`
setup.kibana:
host: "192.168.122.172:5601"
`

`
output.elasticsearch:
hosts: ["localhost:9200"]
username: "elastic"
password: "emre123"
`

  • yukarıdaki ayarlarmalarda IP kısımlar elasticsearch'ün çalıştığı makinendir.Bu ayarlamaları .yml dosyasında düzenledikten sonra kaydedip çıkıyoruz.

  • sonrasında /etc/filebeat/modules.d dizininde elasticsearch.yml.disabled dosyasınındaki disable kaldırıp isimini yeniden düzenliyoruz.

  • aynı dizinde netflow.yml dosyasına girip router'ımızda hangi porttan verilerin göndermesini istediysek aynı port olması için düzenlemeliyiz.Bu örnekte varsayılan 2055 portu kullanıldı.

Image description

  • aynı zamanda host kısmını elasticsearch olduğu makininenin ip adresini verilir ve networks kısmını ise public olarak değiştirilir.

  • netflow'umuzu aktifleştiemek için aşağıdaki komutu kullanıyoruz.

`
sudo filebeat modules enable netflow
`

Artık şimdi filebeat aracımızı başlatabiliriz.

`
sudo filebeat setup
sudo service filebeat start
`

filebeat servisimizin

`
systemctl status filebeat
`

  • komutu ile durumunu kontrol ettikten sonra netflow verilerinin işlenip gönderildiği teğit etmek için aşağıdaki komutu kuallanırız.

curl -X GET http://localhost:9200/_cat/indices/filebeat-*?

Image description

  • bu dosya çıktısı alıyorsak artık kibana arayüzüne girebiliriz.

Kibana Aracından Netflow Verilerini Görüntüleme

Kibanada ana ekranda sol üsteki seçenekler kısmında discover -'a tıklar.Sayfadaki index pattern kısmında filebeat seçerksek netflow verilerimizi görmeye başlarız.

Image description

Artık ağımızdaki netflow index verilerini rahatlıkla anlık elasticsearch,kibanai filebat araçlarını kullanarak görüntüleyebiliriz.

Image of Timescale

Timescale – the developer's data platform for modern apps, built on PostgreSQL

Timescale Cloud is PostgreSQL optimized for speed, scale, and performance. Over 3 million IoT, AI, crypto, and dev tool apps are powered by Timescale. Try it free today! No credit card required.

Try free

Top comments (0)

AWS Security LIVE!

Tune in for AWS Security LIVE!

Join AWS Security LIVE! for expert insights and actionable tips to protect your organization and keep security teams prepared.

Learn More

👋 Kindness is contagious

Discover a treasure trove of wisdom within this insightful piece, highly respected in the nurturing DEV Community enviroment. Developers, whether novice or expert, are encouraged to participate and add to our shared knowledge basin.

A simple "thank you" can illuminate someone's day. Express your appreciation in the comments section!

On DEV, sharing ideas smoothens our journey and strengthens our community ties. Learn something useful? Offering a quick thanks to the author is deeply appreciated.

Okay