Installation des ELK Stack auf Securitix
Ein umfassender Leitfaden für Debian 12
Der ELK Stack (Elasticsearch, Logstash und Kibana) ist ein zentrales Werkzeug für Log-Management und Echtzeit-Analyse von Datenströmen. In diesem Blog‑Post zeige ich, wie man die neueste Version 8.x auf einer Securitix‑Umgebung (Debian 12) installiert, konfiguriert und für die Sicherheits‑ und Penetrationstests optimal nutzt.
1. Vorbereitung
Bevor wir beginnen, prüfen wir, ob das System auf dem neuesten Stand ist und die nötigen Pakete installiert sind.
sudo apt update
sudo apt upgrade -y
sudo apt install gnupg wget curl -y
2. GPG‑Schlüssel importieren und Repository anlegen
Der ELK Stack wird über das offizielle Elastic‑Repository bezogen. Zuerst holen wir den GPG‑Schlüssel:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Dann erstellen wir die Repository‑Datei:
echo "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list
3. Elasticsearch installieren
Erstellen Sie zunächst die notwendigen Benutzer und Gruppen und setzen Sie die JVM‑Heap‑Größe:
sudo mkdir /usr/share/elasticsearch/data
sudo chown -R elasticsearch:elasticsearch /usr/share/elasticsearch/data
sudo nano /etc/elasticsearch/jvm.options
# Bearbeiten Sie die Zeilen
-Xms512m
-Xmx512m
Installieren Sie das Paket und starten Sie den Dienst:
sudo apt install elasticsearch
sudo systemctl enable elasticsearch.service
sudo systemctl start elasticsearch.service
4. Kibana installieren und konfigurieren
Da Kibana stark an Elasticsearch gebunden ist, konfigurieren wir zunächst die Netzwerk‑ und Sicherheitsoptionen:
sudo nano /etc/kibana/kibana.yml
# Beispielkonfiguration
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
xpack.security.enabled: true
xpack.security.encryptionKey: "I6cC7l5z8p0q9s2x4"
Installieren Sie Kibana und starten Sie den Dienst:
sudo apt install kibana
sudo systemctl enable kibana.service
sudo systemctl start kibana.service
5. Logstash installieren
Logstash benötigt eine eigene Konfiguration. Beispiel für eine einfache Pipeline, die Daten aus einer Datei liest:
sudo apt install logstash
sudo nano /etc/logstash/conf.d/input.conf
input {
file {
path => "/var/log/syslog"
start_position => "beginning"
sincedb_path => "/dev/null"
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "syslog-%{+YYYY.MM.dd}"
}
}
Starten Sie Logstash:
sudo systemctl enable logstash.service
sudo systemctl start logstash.service
6. Installation prüfen
Damit wir sicherstellen, dass alles funktioniert, rufen wir die Kibana‑Startseite auf und loggen uns ein:
curl http://localhost:5601
Die Kibana‑UI sollte angezeigt werden. Für den ersten Login nutzen Sie die Admin‑Passwörter, die von Elastic bereitgestellt werden (oder Ihre selbst generierten Passwörter).
6. Integration in Securitix‑Workflows
Auf Securitix können Sie ELK nutzen, um:
- Real‑time‑Security‑Logs aus Metasploit, Nmap, Nikto usw. zu analysieren.
- Verschlüsselung und Authentifizierung mithilfe von X‑Pack zu sichern.
- Dashboards für Penetration‑Tests zu erstellen, die Schwachstellen in Echtzeit visualisieren.
Fazit
Die Installation des ELK Stack 8 auf einer Securitix‑Umgebung ist relativ unkompliziert, sobald die Repository‑Konfiguration und die JVM‑Heap‑Größe korrekt gesetzt sind. Durch die Nutzung der integrierten X‑Pack‑Funktionen (Security, Monitoring, Alerting) können Sie ein robustes Log‑Analyse‑System aufbauen, das speziell für Sicherheits‑ und Penetrationstests konzipiert ist. Weitere Details und erweiterte Konfigurationsmöglichkeiten finden Sie im Original‑Artikel von Elastic: Installation des ELK Stack 8 auf Debian 12.
Wenn Sie Fragen haben oder Unterstützung bei der Einrichtung benötigen, melden Sie sich gerne beim Securitix‑Support – wir stehen Ihnen gerne zur Verfügung!