Table des matières

Introduction Kibana

Kibana est une interface web flexible et intuitive permettant d'explorer et de visualiser les événements et les archives stockées dans Elasticsearch.

Note:

Les privilèges root sont nécessaires pour exécuter toutes les commandes décrites ci-dessous.

Conditions préalables

Avant d'installer Kibana, quelques paquets supplémentaires doivent être installés :

Installez tous les paquets nécessaires à l'installation : 

# yum install curl libcap

Ajout du dépôt Wazuh

Importer la clé GPG 

# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

Ajout du repository “Wazuh” 

# cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF

Kibana installation

Installer le package Kibana 

# yum install opendistroforelasticsearch-kibana

Kibana configuration

Télécharger le fichier de configuration 

# curl -so /etc/kibana/kibana.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/kibana/7.x/kibana.yml

Editer le fichier /etc/kibana/kibana.yml : 

server.host : <kibana_ip>
elasticsearch.hosts : "https://<elasticsearch_ip>:9200"

Les valeurs à remplacer :

Mettre à jour les droits sur les dossier “optimize” et “plugins”. 

# chown -R kibana:kibana /usr/share/kibana/optimize
# chown -R kibana:kibana /usr/share/kibana/plugins

Installez le plugin Wazuh Kibana. L'installation du plugin doit être faite à partir du répertoire d'accueil de Kibana : 

# cd /usr/share/kibana
# sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.0.3_7.9.1-1.zip

L'étape suivante concerne le placement des certificats. Ce guide suppose qu'une copie de certs.tar est placée dans le dossier racine (~/). 

# mkdir /etc/kibana/certs
# mv ~/certs.tar /etc/kibana/certs/
# cd /etc/kibana/certs/
# tar -xf certs.tar kibana_http.pem kibana_http.key root-ca.pem
# mv /etc/kibana/certs/kibana_http.key /etc/kibana/certs/kibana.key
# mv /etc/kibana/certs/kibana_http.pem /etc/kibana/certs/kibana.pem
# rm -f certs.tar

Relier le socket Kibana au port privilégié 443. 

# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

Activez et démarrez le service Kibana : 

# systemctl daemon-reload
# systemctl enable Kibana
# systemctl start Kibana

Accès à l'interface web. 

URL: https://<kibana_ip>
user: admin
password: admin

Note:

Lors du premier accès à Kibana, le navigateur affiche un message d'avertissement indiquant que le certificat n'a pas été délivré par une autorité de confiance. Une exception peut être ajoutée dans les options avancées du navigateur web ou, pour une sécurité accrue, le fichier root-ca.pem précédemment généré peut être importé dans le gestionnaire de certificats du navigateur. Il est également possible de configurer un certificat délivré par une autorité de confiance.

Attention:

Il est fortement recommandé de modifier les mots de passe par défaut d'Elasticsearch pour les utilisateurs trouvés dans le fichier /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml.

Note:

Lors de la première tentative d'accès, le plugin Wazuh Kibana peut provoquer un message indiquant qu'il ne peut pas communiquer avec l'API Wazuh. Pour résoudre ce problème, modifiez le fichier /usr/share/kibana/optimize/wazuh/config/wazuh.yml et remplacez l'url par l'adresse du serveur Wazuh : 

hosts :
  - par défaut :
     url : https://localhost
     port : 55000
     nom d'utilisateur : wazuh
     mot de passe : wazuh

Annexe

https://documentation.wazuh.com/4.0/installation-guide/open-distro/distributed-deployment/step-by-step-installation/kibana/index.html