Hey there,

Cet article est le dernier de la série Elastic. Nous verrons comment installer Kibana 5.2.2. Il est recommandé de lire les deux premiers articles disponibles ici et .

I hope you'll enjoy...

 

Installation

Récupération du package Kibana:

wget https://artifacts.elastic.co/downloads/kibana/kibana-5.2.2-amd64.deb

Verifier que le SHA1 de ce packqge correspond à la valeur publiée ici par Elastic Team [1]

sha1sum kibana-5.2.2-amd64.deb

Nous obtenons : 3c3e3741fdf0105103d057ea33307b97b00d0890 kibana-5.2.2-amd64.deb

 

Puis, nous installons le package:

dpkg -i kibana-5.2.2-amd64.deb

Selecting previously unselected package kibana.

(Reading database ... 36501 files and directories currently installed.)

Preparing to unpack kibana-5.2.2-amd64.deb ...

Unpacking kibana (5.2.2) ...

Setting up kibana (5.2.2) ...

Processing triggers for systemd (215-17+deb8u6) ...

 

Démarrage - statut

Kibana n'est pas démarré automatiquement après installation. Il faut utiliser syv init ou systemd pour le démarrer. Pour un Debian ce sera systemd car la commande ps -p 1 renvoie "systemd"

ps -p 1

   PID TTY     TIME     CMD

     1 ?       00:00:01 systemd

 

Démarrage de Kibana lors du lancement de la machine:

/bin/systemctl daemon-reload

/bin/systemctl enable kibana.service

Pour sysV init :

update-rc.d kibana defaults 95 10

 

Démarrons Kibana sous Debian:

systemctl start kibana.service

 

Pour sysV init, utiliser cette commande pour le démarrage:

sudo -i service kibana start

 

Arrêter Kibana

systemctl stop kibana.service

 

Pour sysV init, utiliser cette commande pour le démarrage:

sudo -i service kibana stop

 

Statut de Kibana

systemctl status kibana.service

 

kibana.service - Kibana

   Loaded: loaded (/etc/systemd/system/kibana.service; enabled)

   Active: active (running) since Sat 2017-03-25 00:45:51 CET; 6s ago

Main PID: 11694 (node)

   CGroup: /system.slice/kibana.service

           └─11694 /usr/share/kibana/bin/../node/bin/node --no-warnings /usr/share/kibana/bin/../src/cli -c /etc/kibana/kibana.yml

Mar 25 00:45:51 elk systemd[1]: Starting Kibana...

Mar 25 00:45:51 elk systemd[1]: Started Kibana.

 

Vérifier que dans le résultat de cette commande, vous obtenez "active (running)" dans le résultat.

 

Gestion des logs de Kibana

Pour affiher les logs de Kibana depuis le 24/03/2017 à 23h39m22s : journalctl --unit kibana --since "2017-03-24 23:39:22"

-- Logs begin at Fri 2017-03-24 21:51:55 CET, end at Sat 2017-03-25 00:46:11 CET. --

Mar 25 00:45:51 elk systemd[1]: Starting Kibana...

Mar 25 00:45:51 elk systemd[1]: Started Kibana.

Mar 25 00:46:01 elk kibana[11694]: {"type":"log","@timestamp":"2017-03-24T23:46:00Z","tags":["status","plugin:kibana@5.2.2","info"],"pid":11694,"state":"green","message":"Status changed from uninitialized to green - Ready","prevState":"u

Mar 25 00:46:01 elk kibana[11694]: {"type":"log","@timestamp":"2017-03-24T23:46:01Z","tags":["status","plugin:elasticsearch@5.2.2","info"],"pid":11694,"state":"yellow","message":"Status changed from uninitialized to yellow - Waiting for

Mar 25 00:46:01 elk kibana[11694]: {"type":"log","@timestamp":"2017-03-24T23:46:01Z","tags":["status","plugin:console@5.2.2","info"],"pid":11694,"state":"green","message":"Status changed from uninitialized to green - Ready","prevState":"

Mar 25 00:46:02 elk kibana[11694]: {"type":"log","@timestamp":"2017-03-24T23:46:02Z","tags":["status","plugin:timelion@5.2.2","info"],"pid":11694,"state":"green","message":"Status changed from uninitialized to green - Ready","prevState":

Mar 25 00:46:02 elk kibana[11694]: {"type":"log","@timestamp":"2017-03-24T23:46:02Z","tags":["listening","info"],"pid":11694,"message":"Server running at http://localhost:5601"}

 

Personnalisation

Avant les modifications, nous arrêtons le service kibana:

systemctl stop kibana.service

 

Pour modifier le port et l'adresse d'ecoute de Kibana, modifier les lignes suivantes dans /etc/kibana/kibana.yml:

server.host: "192.168.154.141"

server.port: 5601

 

Redémarrage du service:

systemctl daemon-reload

systemctl start kibana.service

 

Important: Si vous avez modifié l'adresse IP et/ou le port d'écoute d'Elasticsarch, il faudrait également définir cette nouvelle adresse dans /etc/kibana/kibana.yml

elasticsearch.url: "http://192.168.154.141:9200"

 

Tests

Elasticsearch et Kibana

Kibana écoute par défaut sur le port 5601. Nous ouvrons un navigateur à l'adresse 192.168.154.141:5601 (l'adresse IP peut varier si vous l'aviez personnalisé).

A partir de l'interface d'administration, cliquer sur "Dev tools". Ensuite dans le champ gauche, nous rentrons la requête: "GET /" et nous appuyons sur le bouton vert (voir image ci-dessous):

kibana dev tool

 

Nous obtenons alors un statut sur Elasticsearch (nom du cluster, version, etc).

 

Elasticsearch, Logstash, Kibana et Nessus

Dans l'article sur Logstash, nous avions configuré la collecte et l'indexation d'un rapport Nessus par Elasticsearch et Logstash. Le resultat peut être visible sous Kibana via l'index que nous avions créé "nessus-%{+YYYY.MM.dd}".

A partir de l'interface d'administration de Kibana, afin d'ajouter cet index, nous cliquons sur Management > Index Patterns > Add new.

Dans le champ "Index name or pattern" nous rentrons "nessus-*" (voir illustration ci-dessous). Le caractère "*" permet de récupérer tous les index dont le nom contient "nessus-". De plus, nous selectionnons "@timestamp" pour "Time-field name". Puis, nous cliquons sur "create".

kibana index nessus

 

A partir du menu latéral, cliquer sur "Discover". Nous pouvons selectionner une ligne particulière voir son contenu:

kibana index nessus entry

Nous pouvons constater par exemple que dans le rapport Nessus (test.csv), une ligne porte sur le plugin ID 10107 [2] qui indique que Nessus a decouvert un serveur web lors de son scan.

 

Elasticsearch, Logstash, Kibana et Apache

De même que précédemment, nous avions configuré Logstash afin de collecter et parser le fichier access.log d'Apache. Voici le résultat sous Kibana:

kibana index apache entry

 

 

Conlusion

La pile Elastic peut être appliquée dans plusieurs domaines. Nous avons vu dans cette série d'articles comment configurer ELK afin d'analyser les logs d'Apache et un rapport Nessus. Attention nous n'avons qu'une partie des fonctionnalités de cet outil. Je vous invite à parcourir le site d'Elastic afin d'avoir plus d'informations [3].

 

Stay tuned!

Michel

 

Ressources

Liens consultés entre le 25/03/2017 et le 02/04/2017

1. https://artifacts.elastic.co/downloads/kibana/kibana-5.2.2-amd64.deb.sha1

2. https://www.tenable.com/plugins/index.php?view=single&id=10107

3. https://www.elastic.co

 

https://www.elastic.co

Add comment

You are encouraged to comment. However, I will exercise my right to moderate and edit comments which are offensive or not constructive.


Security code
Refresh