WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM »


par Joseph DEMBELE
Université Centrale - Master professionnel mention Cybersécurité 2021
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Chapitre II : Réalisation

Ici nous utiliserons Logstash pour effectuer des traitements supplémentaires sur les données collectées par Filebeat.

Pour configurer Filebeat à envoyer les logs système, on doit modifier le fichier filebeat.yml qui est l'exemple du fichier de configuration fourni avec Filebeat situé dans "/etc/filebeat/filebeat.yml".

On change le paramètre "enabled " en true pour activer l'envoi des logs de type log.

Dans la section paths, nous allons ajouter les fichiers journaux qu'on souhaite envoyer à Logstash. Nous ajouterons tous les fichiers .log situé dans '/var/log/' et les fichiers '/var/log/secure' pour l'activité ssh et '/var/log/messages' pour le journal du serveur.

Figure 17 : Configuration du fichier filebeat.yml sur CentOS

Filebeat n'aura pas besoin d'envoyer de données directement à Elasticsearch. Nous désactivons donc cette sortie dans la section "output.elasticsearch" et commentons les lignes suivantes en les faisant précéder d'un # .

Et on décommente la ligne "output.logstash" en retirant le # puis on indique localhost comme adresse de notre serveur Logstash puis après la configuration pour le certificat.

35

Chapitre II : Réalisation

Figure 18 : Configuration de l'output vers Logstash du fichier Filebeat sur CentOS

On enregistre le fichier puis on démarre le service Filebeat et on l'active pour qu'il se lance au démarrage de notre serveur :

sudo systemctl start filebeat sudo systemctl enable filebeat

Installation et configuration de Filebeat sur les machines clientes

? Installation sur le client Ubuntu

Pour le client Ubuntu nous allons récupérer sur le site elastic.co le fichier d'installation de Filebeat pour Ubuntu (Debian) :

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.11.2-amd64.deb

Figure 19 : Installation de Filebeat côté client

Une fois le fichier télécharger nous allons l'installer avec le gestionnaire de package dpkg et avec la commande dpkg -i filebeat-7.11.2-amd64.deb.

36

Chapitre II : Réalisation

Une fois Filebeat télécharger nous allons le configurer tout comme on la fait sur la machine serveur dans le fichier "/etc/filebeat/filebeat.yml".

Figure 20 : Configuration du fichier filebeat.yml

Nous allons ici indiquer l'adresse de notre serveur qui est la 192.168.10.139 dans la partie configuration de Kibana.

Figure 21 : Configuration du fichier filebeat.yml (Partie Kibana)

Nous désactivons output vers Elasticsearch.

Figure 22 : Configuration du fichier filebeat.yml (Partie Elasticsearch)

Chapitre II : Réalisation

Nous enlevons le commentaire de "output.logstash" puis indiquons l'adresse du serveur et les configurations pour le certificat.

Figure 23 : Configuration du fichier filebeat.yml (Partie Logstash)

Une fois la configuration terminée nous pouvons lancer Filebeat et activer le démarrage avec le système.

sudo systemctl start filebeat sudo systemctl enable filebeat

? Installation sur le client Windows

Pour le client Windows nous allons télécharger la version zipper x64bit de Winlogbeat.

Figure 24 : Téléchargement de Winlogbeat sur Windows

37

38

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Nous voulons explorer la bonté contrée énorme où tout se tait"   Appolinaire