Gure DNS eta DHCP zerbitzariaren LOGak biltzen, Elasticsearchen eta Grafanan bistaratuz

Inprimatzeko Lagunkoa, PDF eta Email

Zenbat originaltasun falta dut izenburu laburretarako… bueno, zure DNS zerbitzari edo DHCP zerbitzari propioa baduzu, hau da zure post 😉 Benetan ez dugu hori logen bidez lortuko, bertan trafikoa auditatuz egingo dugu 😉 Auditatuko ditugu DNS zerbitzuak sortzen dituen eskaerak, edo DHCP-a Grafanan ikusteko!

Gure DNS edo DHCP zerbitzariak jasotzen dituen eskaerak ezagutu nahi baditugu, Grafanan ikus ditzagun kontsultak egiteko edo dashboard birakorrean jartzeko helburuarekin… zerbitzu berberen funtzionamendu zuzena edo ez ezagutzen lagunduko diguna, halaber, DNSaren kasuan helmuga eskaerak ezagutzeko, nor egiten dituen… DHCParen kasuan, eskaerak dira… Noski, beste trafiko mota batzuk ere azter daitezke, HTTP, MySQL, PostgreSQL… eta horrela egiten diren kontsultak ezagutu…

Nola muntatzen dugu? ELK funtzionala eta Grafana bat dugula ematen dugu, Packetbeat-en laguntza erabiliko dugu makina zehatz baten trafikoa aztertzeko, ondoren Elasticsearch-era bidaliko dugu eta Grafanako Datasource batekin behar ditugun kontsultak egin ahal izango ditugu.

En Windows, debemos instalar en la máquina Npcap lehenik eta behin, marcando únicamente 'Install Npcap in WinPcap API-compatible Mode'. Continuamos y finalizamos con la instalación de Packetbeat.

Una vez tengamos packetbeat descargado y descomprimido, lo configuraremos, como siempre, su fichero de configuración 'packetbeat.yml'.

...
setup.template.settings:
  index.number_of_shards: 1
setup.template.name: "packetbeat"
setup.template.pattern: "packetbeat-*"
setup.ilm.enabled: false
...
setup.kibana:
  host: "https://DIRECCION_IP_KIBANA:5601"
  ssl.verification_mode: none
...
output.elasticsearch:
  # Konexioa egiteko ostatuen arraya.
  hosts: ["https://ELASTIKO_IP_HELBIDEA:9200"]
  ssl.verification_mode: none
 username: "XXXXXXXX"
  password: "XXXXXXXX*"
  indizea: "packetbeat-%{+yyyy.MM.dd}"
...

Y, en el mismo fichero de configuración necesitaremos indicar qué registros nos interesan auditar:

...
# =========================== Transakzio protokoloak ============================
packetbeat.protocols:
- type: icmp
  # Gaitu ICMPv4 eta ICMPv6 monitorizazioa. Lehenetsia egia da.
  enabled: false

- type: amqp
  # Konfiguratu AMQP trafikoa entzuteko portuak. Desgaitu dezakezu
  # AMQP protokoloa portuen zerrenda komentatuz.
  ports: [5672]
  enabled: false

- type: cassandra
  # Konfiguratu non entzun Cassandra trafikoarentzat portuak. Desgaitu dezakezu
  # Cassandra protokoloa portuen zerrenda komentatuz.
  ports: [9042]
  enabled: false

- type: dhcpv4
  # Konfiguratu DHCP IPv4 portuetarako.
  ports: [67, 68]

- type: dns
  # Konfiguratu non entzun DNS trafikoarentzat portuak. Desgaitu dezakezu
  # DNS protokoloa portuen zerrenda komentatuz.
  ports: [53]

- type: http
  # Konfiguratu non entzun HTTP trafikoarentzat portuak. Desgaitu dezakezu
  # HTTP protokoloa portuen zerrenda komentatuz.
  ports: [80, 8080, 8000, 5000, 8002]
  enabled: false
...

Konfiguratuta dagoenean, zerbitzua instalatzen dugu:

cd '.\Program Files\packetbeat\'
.\install-service-packetbeat.ps1

Konfigurazioa balioztatu, kargatu konfigurazioa eta martxan jarri zerbitzua:

.\packetbeat.exe test config -c .\packetbeat.yml -e
.\packetbeat.exe setup
Start-Service packetbeat

Nota, CPU gutxiago erabiltzeko, bakarrik interesatzen zaizkigun protokoloak iragazi behar ditugu, gainera, en el parámetro 'packetbeat.interfaces.device’ ponerle el ID de la tarjeta de red a auditar, para saber que ID, en una consola de terminal ejecutamos: 'packetbeat devices':

packetbeat devices
0: \Device\NPF_{AB47E8CD-2692-4320-A188-FFE1191EDFDC} (Adaptador Ethernet vmxnet3) (fe80::70ef:a48d:29b2:3677 192.168.1.100)
1: \Device\NPF_Loopback (Adapter for loopback traffic capture) (Not assigned ip address)

Podremos ir a comprobar desde Kibana si ya estamos recopilando los eventos de Auditbeat, deberemos crear el índice como de costumbre.

Y luego ya, desde Grafana crearemos un Data Source contra este índice de Elasticsearch y podremos comenzar a crear. A poder ser algo más bonito que lo mío. Un panel, de un vistazo se ven las consultas DNS, origen, destino, top de clientes, top de destinos… y más o menos lo mismo con el DHCP.

Ziur nago nire dashboarda hobetu dezakezuela oiloa kantatzen hasi baino lehenago, Beste panel mota bat jar dezakegu, Hauek gazta taularen tipikoak dira, gráficas, sankey…

Ondoren iragazkiak eta DNS bilaketak egiteko IP jatorrizkoaren arabera, helmuga gunea…

DHCP ikusteko beste modu bat… y sí… Ikusten dut Raspberry Pi bat dudala WiFiarekin arazoak dituela, Baliteke tentsio baxuko transformadore txar bat izatea…

Pero bueno, Datu gehiago dituzten ingurune batean, edo datu errealagoak, erakargarriago ikusi ahal izango dituzue. Venga, Ez naiz luzatzen, Espero dut inspirazio iturri izatea behar baduzue zuen DNS zerbitzari edo DHCP zerbitzarian datuak biltzeko.

Besarkada denoi!

Izenburuko mezuak

Windows-eko metrikak Prometheus eta Grafana-rekin
Irakurri
Ping-eko metrikak Prometheus eta Grafana-rekin
Irakurri
Arauak eta alerta ElastAlert-rekin 2
Irakurri
FortiGate-eko metrikak Prometheus eta Grafana-rekin
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Centreon-tik kluster bat monitorizatuz

25 urrian 2022

ESPHome eta Home Assistant erabiliz etxeko ur-kontagailua irakurtzen

8 Azaroan 2022