Kibana
Elastic Stack 을 볼 수 있는 창이다.
Elasticsearch에 존재하는 데이터를 실시간으로 분석하고 시각적으로 탐구할 수 있다.
데이터 탐색, 인사이트 찾기, 결과 공유까지 가능하며 Kibana를 통해 데이터를 신속하게 이해하고, 동향 및 이상 징후를 한눈에 파악하고 현장에서 팀에게 결과를 전달할 수 있는 기능이 있다.
Kibana 설치하기
Elasticsearch를 잘 설치했다면, 이제 Kibana를 설치해보자.
┌──(kali㉿kali)-[~]
└─$ sudo apt install kibana -y
Installing:
kibana
Summary:
Upgrading: 0, Installing: 1, Removing: 0, Not Upgrading: 540
Download size: 369 MB
Space needed: 1,113 MB / 8,896 MB available
Get:1 https://artifacts.elastic.co/packages/8.x/apt stable/main amd64 kibana amd64 8.18.3 [369 MB]
Fetched 369 MB in 44s (8,462 kB/s) Kibana is currently running with legacy OpenSSL providers enabled! For details and instructions on how to disable see https://www.elastic.co/guide/en/kiban
a/8.18/production.html#openssl-legacy-provider
Created Kibana keystore in /etc/kibana/kibana.keystore
이제 서비스 시작을 해보자
┌──(kali㉿kali)-[~]
└─$ sudo systemctl enable kibana
Created symlink '/etc/systemd/system/multi-user.target.wants/kibana.service' → '/usr/lib/systemd/system/kibana.service'.
┌──(kali㉿kali)-[~]
└─$ sudo systemctl start kibana 웹에서 localhost:5601에 접속하게 되면 아래와 같은 화면을 볼 수 있다.
Elasticsearch 서버에서 enrollment token을 직접 생성해서 입력해야 한다.
Enrollment token 생성 방법은 아래와 같다.
┌──(kali㉿kali)-[~]
└─$ sudo /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana
eyJ2ZXIiOiI4LjE0LjAiLCJhZHIiOlsiMTkyLjE2OC45NC4xNTU6OTIwMCJdLCJmZ3IiOiI0NjA5ZTdmMjQ2ZTBhNWEzNjBmMDgzM2MzMDdlMTBlNDlkNDllMzZkZDQ4MjljNzZjZDlkNjY2MWI0NmFiNTQ3Iiwia2V5IjoiNURJQ19wY0JMX1lhb3lFNzlXZk06eG1oeVRqRjVQWGhQeS1QeGlTQjE5ZyJ9
발급된 토큰을 위의 창에 입력하게 되면 아래와 같은 창이 뜨며 인증 코드를 입력하는 화면이 뜨고 해당 코드는 아래와 같이 입력하면 확인할 수 있다.
┌──(kali㉿kali)-[~]
└─$ sudo /usr/share/kibana/bin/kibana-verification-code
Your verification code is: 061 395
조금의 로딩 시간을 보내면 로그인 화면이 뜬다.
로그인을 하게 되면
Start by adding integrations
Add data to your cluster from any source, then analyze and visualize it in real time. Use our solutions to add search anywhere, observe your ecosystem, and defend against security threats.
이런 문구를 만나게 되는데 나는 Add Integration을 선택했다.
그럼 위와 같은 화면을 볼 수 있다.
filebeat 설치
┌──(kali㉿kali)-[~]
└─$ sudo apt install filebeat -y
[sudo] password for kali:
Installing:
filebeat
┌──(kali㉿kali)-[~]
└─$ sudo filebeat modules enable system
Enabled system
┌──(kali㉿kali)-[~]
└─$ sudo filebeat setup
Exiting: couldn't connect to any of the configured Elasticsearch hosts. Errors: [error connecting to Elasticsearch at http://localhost:9200: Get "http://localhost:9200": EOF]
위처럼 filebeat의 설정을 하려고 했는데 오류가 떴을 때의 해결방법은 아래와 같다.
┌──(kali㉿kali)-[~]
└─$ sudo vi /etc/filebeat/filebeat.yml
위의 내용처럼 주석을 해제해주고, 본인 설정에 알맞게 내용을 수정해주면 된다.
┌──(kali㉿kali)-[~]
└─$ sudo systemctl restart filebeat
┌──(kali㉿kali)-[~]
└─$ sudo filebeat setup
Overwriting lifecycle policy is disabled. Set `setup.ilm.overwrite: true` to overwrite.
Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded Ingest pipelines
┌──(kali㉿kali)-[~]
└─$ sudo systemctl start filebeat
┌──(kali㉿kali)-[~]
└─$ sudo systemctl enable filebeat
Synchronizing state of filebeat.service with SysV service script with /usr/lib/systemd/systemd-sysv-install.
Executing: /usr/lib/systemd/systemd-sysv-install enable filebeat
Created symlink '/etc/systemd/system/multi-user.target.wants/filebeat.service' → '/usr/lib/systemd/system/filebeat.service'.
이어서 마저 서비스 시작을 해주면 된다.
