LittleBeat выпущен

/ 26.02.2017

Это готовый к работе аплаенс для сбора и анализа журналов событий Windows на базе стека ELK, предназначенный для небольших компаний (от 5 до 500 хостов).

Для установки необходима виртуальная или физическая машина Debian 8. Рекомендуется минимальная установка системы с дистрибутива netinst с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций.

Во время установки необходим доступ в Интернет (только к стандартным репозитариям Debian, если вы используете локальные репозитарии, доступ в Интернет не нужен).

Рекомендуется не менее 8 ГБ оперативной памяти. Мощность процессоров значения не имеет, процессор класса Intel Atom х64 вполне подойдет. Рекомендуемый объем дисковой памяти не менее 100 ГБ, скорость дисковой подсистемы существенного значения не имеет.

Рекомендуется иметь в сети сервис DNS и настроенные записи PTR для хостов, но это не обязательно.

После установки, на аплаенсе появится общедоступная (только для чтения) SMB-папка agents. В ней будут находиться сконфигурированные агенты Winlogbeat и Metricbeat и скрипты для их автоматической установки. Их можно использовать как для ручной установки на хосты, так и для какой-либо системы автоматической установки (проверено с MS System Center Configuration Manager). Кроме того в этой же папке находится файл win-audit-set.bat, которым можно настроить политику аудита Windows, в том числе «Домашней версии», не имеющей соответствующего редактора политик. Этот файл не зависит от языка системы, поскольку использует GUID идентификаторы политик, а не их названия.

Коммуникации между агентами и сервером закрываются посредством SSL. Используется самоподписанный сертификат сервера, который создается в процессе установки и конфигурации аплаенса. Алгоритм подписи SHA256.

Установка

Необходимо подключение к консоли с полномочиями root.

Образ диска здесь: littlebeat.iso

Для работы с виртуальной машиной просто подключите littlebeat.iso в качестве cdrom, для работы с физической машиной создайте из этого образа cdrom или flashdrive, или скопируйте littlebeat.iso на машину, например, используя WinSCP, и смонтируйте его в какую-нибудь папку.

Перейдите в папку, в которую смонтировали диск и запустите скрипт run.sh.

Пример для запуска с cdrom:

    mkdir /root/littlebeat
    mount -t iso9660 -o ro /dev/cdrom /root/littlebeat
    cd /root/littlebeat
    ./run.sh

Пример для запуска со смонтированного iso:

    mkdir /root/littlebeat
    mount -t iso9660 -o loop /root/littlebeat.iso /root/littlebeat
    cd /root/littlebeat
    ./run.sh

Совет: если вы используете PuTTY в качестве SSH консоли, то в окне конфигурации в разделе Connection, в подразделе Data, в окошке terminal-type string напишите linux вместо xterm, иначе псевдографика в меню будет выглядеть смешно.

putty

esguardian@outlook.com

Похожие записи

LittleBeat выпущен: 2 комментария

  1. Хорошая новость, обязательно протестирую. Интересна реализация некоторых моментов. Спасибо большое!

    Нравится

    Ответить

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Gravatar
Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Отмена

Connecting to %s