前提条件
今回はSuricata IDS と ElasticStack を 次のサーバーにインストールします
・1台目サーバー Suricata IDS & Filebeat : Fedora44 IPアドレス(192.168.11.83)
・2台目サーバー ElasticStack & kibana : Fedora43 IPアドレス(192.168.11.85)
root以外のsudoユーザーで実行する
Suricata
SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。
1.事前準備
①EPEL リポジトリをシステム上で有効化する
|
1 |
# dnf -y install epel-release |
②システムのアップデート
|
1 |
# dnf update -y |
2.Suricata のインストールと設定
①Suricata のインストール
|
1 2 3 4 5 |
# dnf -y install suricata バージョンの確認 # suricata -V This is Suricata version 8.0.4 RELEASE |
②Suricataがネットワークパケットを検査するインターフェースとIPアドレスを決定
|
1 2 3 |
# ip --brief add lo UNKNOWN 127.0.0.1/8 ens160 UP 192.168.11.83/24 |
③設定ファイルを編集
|
1 2 3 4 5 6 7 8 |
# vi /etc/suricata/suricata.yaml # 15行目 : varsセクションで、ネットワークを定義する HOME_NET: "[192.168.11.0/24]" # 661行目あたり : af-packetセクションのインターフェース名を設定 af-packet: - interface: ens160 |
|
1 2 3 4 5 |
# vi /etc/sysconfig/suricata # 8行目 :インターフェイスを指定 # Add options to be passed to the daemon OPTIONS="-i ens160 --user suricata " |
④Suricataのルール更新
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# suricata-update ---------------------------------------------- 1/5/2026 -- 09:25:48 - <Info> -- Loaded 65816 rules. 1/5/2026 -- 09:25:48 - <Info> -- Disabled 15 rules. 1/5/2026 -- 09:25:48 - <Info> -- Enabled 0 rules. 1/5/2026 -- 09:25:48 - <Info> -- Modified 0 rules. 1/5/2026 -- 09:25:48 - <Info> -- Dropped 0 rules. 1/5/2026 -- 09:25:48 - <Info> -- Enabled 136 rules for flowbit dependencies. 1/5/2026 -- 09:25:48 - <Info> -- Creating directory /var/lib/suricata/rules. 1/5/2026 -- 09:25:48 - <Info> -- Backing up current rules. 1/5/2026 -- 09:25:48 - <Info> -- Writing rules to /var/lib/suricata/rules/suricata.rules: total: 65816; enabled: 49920; added: 65816; removed 0; modified: 0 1/5/2026 -- 09:25:48 - <Info> -- Writing /var/lib/suricata/rules/classification.config 1/5/2026 -- 09:25:49 - <Info> -- Testing with suricata -T. 1/5/2026 -- 09:26:19 - <Info> -- Done. |
⑤Suricataの起動
|
1 2 |
# systemctl enable --now suricata Created symlink /etc/systemd/system/multiuser.target.wants/suricata.service → /usr/lib/systemd/system/suricata.service. |
⑥Suricataの起動確認
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
# systemctl status suricata ● suricata.service - Suricata Intrusion Detection Service Loaded: loaded (/usr/lib/systemd/system/suricata.service; enabled; preset: disabled) Drop-In: /usr/lib/systemd/system/service.d └─10-timeout-abort.conf Active: active (running) since Fri 2026-05-01 09:27:35 JST; 10s ago Invocation: 8e34492e09934edc8d9b8507fe43c785 Docs: man:suricata(1) Process: 3904 ExecStartPre=/bin/rm -f /var/run/suricata.pid (code=exited, status=0/SUCCESS) Main PID: 3905 (Suricata-Main) Tasks: 1 (limit: 3436) Memory: 242.2M (peak: 242.2M) CPU: 10.183s CGroup: /system.slice/suricata.service └─3905 /sbin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid -i ens160 --user suricata May 01 09:27:35 Lepard systemd[1]: Starting suricata.service - Suricata Intrusion Detection Service... May 01 09:27:35 Lepard systemd[1]: Started suricata.service - Suricata Intrusion Detection Service. May 01 09:27:35 Lepard suricata[3905]: i: suricata: This is Suricata version 8.0.4 RELEASE running in SYSTEM mode |
ログを確認
|
1 2 3 4 5 6 7 8 9 10 11 |
# tail /var/log/suricata/suricata.log [3905 - Suricata-Main] 2026-05-01 09:27:35 Info: logopenfile: fast output device (regular) initialized: fast.log [3905 - Suricata-Main] 2026-05-01 09:27:35 Info: logopenfile: eve-log output device (regular) initialized: eve.json [3905 - Suricata-Main] 2026-05-01 09:27:35 Info: logopenfile: stats output device (regular) initialized: stats.log [3905 - Suricata-Main] 2026-05-01 09:27:52 Info: detect: 1 rule files processed. 49920 rules successfully loaded, 0 rules failed, 0 rules skipped [3905 - Suricata-Main] 2026-05-01 09:27:52 Info: threshold-config: Threshold config parsed: 0 rule(s) found [3905 - Suricata-Main] 2026-05-01 09:27:52 Info: detect: 49925 signatures processed. 1267 are IP-only rules, 4485 are inspecting packet payload, 43937 inspect application layer, 110 are decoder event only [3905 - Suricata-Main] 2026-05-01 09:27:53 Info: unix-manager: unix socket '/var/run/suricata/suricata-command.socket' [3905 - Suricata-Main] 2026-05-01 09:27:53 Info: runmodes: ens160: creating 4 threads [3927 - W#01-ens160] 2026-05-01 09:27:53 Info: ioctl: ens160: MTU 1500 [3905 - Suricata-Main] 2026-05-01 09:27:53 Notice: threads: Threads created -> W: 4 FM: 1 FR: 1 Engine started. |
統計情報を確認するには、stats.log ファイルを確認します(デフォルトで8秒ごとに更新)
|
1 |
# tail -f /var/log/suricata/stats.log |
より高度な出力であるEVE JSONは、以下のコマンドで生成することができる
|
1 |
# tail -f /var/log/suricata/eve.json |
3.Suricata のテスト
①curl ユーティリティで ping テストを実行
|
1 2 |
# curl http://testmynids.org/uid/index.html uid=0(root) gid=0(root) groups=0(root) |
②ログに記録されたかどうかを調べるため、アラートログを確認
|
1 2 |
# cat /var/log/suricata/fast.log 05/01/2026-09:29:56.534827 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.227.50.120:80 -> 192.168.11.83:50466 |
4.Suricata Rulesの設定
①Suricataにパッケージされているルールセットの表示
|
1 2 3 4 5 6 |
# ls -al /var/lib/suricata/rules/ total 42432 drwxr-s--- 2 root suricata 57 May 1 09:25 . drwxrws--- 5 suricata suricata 46 May 1 09:26 .. -rw-r--r-- 1 root suricata 3228 May 1 09:25 classification.config -rw-r--r-- 1 root suricata 43443946 May 1 09:25 suricata.rules |
②ルールセットを提供するソースのインデックス一覧
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 |
# suricata-update list-sources Name: abuse.ch/feodotracker Vendor: Abuse.ch Summary: Abuse.ch Feodo Tracker Botnet C2 IP ruleset License: CC0-1.0 Name: abuse.ch/sslbl-blacklist Vendor: Abuse.ch Summary: Abuse.ch SSL Blacklist License: CC0-1.0 Replaces: sslbl/ssl-fp-blacklist Name: abuse.ch/sslbl-c2 Vendor: Abuse.ch Summary: Abuse.ch Suricata Botnet C2 IP Ruleset License: CC0-1.0 Name: abuse.ch/sslbl-ja3 Vendor: Abuse.ch Summary: Abuse.ch Suricata JA3 Fingerprint Ruleset License: CC0-1.0 Replaces: sslbl/ja3-fingerprints Name: abuse.ch/urlhaus Vendor: abuse.ch Summary: Abuse.ch URLhaus Suricata Rules License: CC0-1.0 Name: aleksibovellan/nmap Vendor: aleksibovellan Summary: Suricata IDS/IPS Detection Rules Against NMAP Scans License: MIT Name: et/open Vendor: Proofpoint Summary: Emerging Threats Open Ruleset License: MIT Name: et/pro Vendor: Proofpoint Summary: Emerging Threats Pro Ruleset License: Commercial Replaces: et/open Parameters: secret-code Subscription: https://www.proofpoint.com/us/threat-insight/et-pro-ruleset Name: etnetera/aggressive Vendor: Etnetera a.s. Summary: Etnetera aggressive IP blacklist License: MIT Name: oisf/trafficid Vendor: OISF Summary: Suricata Traffic ID ruleset License: MIT Name: pawpatrules Vendor: pawpatrules Summary: PAW Patrules is a collection of rules for IDPS / NSM Suricata engine License: CC-BY-SA-4.0 Name: ptrules/open Vendor: Positive Technologies Summary: Positive Technologies Open Ruleset License: Custom Name: scwx/enhanced Vendor: Secureworks Summary: Secureworks suricata-enhanced ruleset License: Commercial Parameters: secret-code Subscription: https://www.secureworks.com/contact/ (Please reference CTU Countermeasures) Name: scwx/malware Vendor: Secureworks Summary: Secureworks suricata-malware ruleset License: Commercial Parameters: secret-code Subscription: https://www.secureworks.com/contact/ (Please reference CTU Countermeasures) Name: scwx/security Vendor: Secureworks Summary: Secureworks suricata-security ruleset License: Commercial Parameters: secret-code Subscription: https://www.secureworks.com/contact/ (Please reference CTU Countermeasures) Name: stamus/lateral Vendor: Stamus Networks Summary: Lateral movement rules License: GPL-3.0-only Name: stamus/nrd-14-open Vendor: Stamus Networks Summary: Newly Registered Domains Open only - 14 day list, complete License: Commercial Parameters: secret-code Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed Name: stamus/nrd-30-open Vendor: Stamus Networks Summary: Newly Registered Domains Open only - 30 day list, complete License: Commercial Parameters: secret-code Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed Name: stamus/nrd-entropy-14-open Vendor: Stamus Networks Summary: Newly Registered Domains Open only - 14 day list, high entropy License: Commercial Parameters: secret-code Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed Name: stamus/nrd-entropy-30-open Vendor: Stamus Networks Summary: Newly Registered Domains Open only - 30 day list, high entropy License: Commercial Parameters: secret-code Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed Name: stamus/nrd-phishing-14-open Vendor: Stamus Networks Summary: Newly Registered Domains Open only - 14 day list, phishing License: Commercial Parameters: secret-code Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed Name: stamus/nrd-phishing-30-open Vendor: Stamus Networks Summary: Newly Registered Domains Open only - 30 day list, phishing License: Commercial Parameters: secret-code Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed Name: tgreen/hunting Vendor: tgreen Summary: Threat hunting rules License: GPLv3 |
③ソースを有効にする(tgreen/huntingを有効にする場合)
|
1 2 3 4 5 6 7 8 9 10 |
# suricata-update enable-source tgreen/hunting 1/5/2026 -- 09:38:39 - <Info> -- Using data-directory /var/lib/suricata. 1/5/2026 -- 09:38:39 - <Info> -- Using Suricata configuration /etc/suricata/suricata.yaml 1/5/2026 -- 09:38:39 - <Info> -- Using /usr/share/suricata/rules for Suricata provided rules. 1/5/2026 -- 09:38:39 - <Info> -- Found Suricata version 8.0.4 at /usr/sbin/suricata. 1/5/2026 -- 09:38:39 - <Warning> -- Source index does not exist, will use bundled one. 1/5/2026 -- 09:38:39 - <Warning> -- Please run suricata-update update-sources. 1/5/2026 -- 09:38:39 - <Info> -- Creating directory /var/lib/suricata/update/sources 1/5/2026 -- 09:38:39 - <Info> -- Enabling default source et/open 1/5/2026 -- 09:38:39 - <Info> -- Source tgreen/hunting enabled |
アップデートを実行
|
1 2 3 4 5 6 7 8 9 |
# suricata-update update-sources 1/5/2026 -- 09:41:25 - <Info> -- Using data-directory /var/lib/suricata. 1/5/2026 -- 09:41:25 - <Info> -- Using Suricata configuration /etc/suricata/suricata.yaml 1/5/2026 -- 09:41:25 - <Info> -- Using /usr/share/suricata/rules for Suricata provided rules. 1/5/2026 -- 09:41:25 - <Info> -- Found Suricata version 8.0.4 at /usr/sbin/suricata. 1/5/2026 -- 09:41:25 - <Info> -- Downloading https://www.openinfosecfoundation.org/rules/index.yaml 1/5/2026 -- 09:41:26 - <Info> -- Adding all sources 1/5/2026 -- 09:41:26 - <Info> -- Saved /var/lib/suricata/update/cache/index.yaml |
Suricata service再起動
|
1 |
# systemctl restart suricata |
5.Suricata Custom Rulesの作成
①カスタマールールを含むファイルを作成
|
1 2 3 |
# vi /var/lib/suricata/rules/local.rules 下記内容を記載 alert icmp any any -> any any (msg:"ICMP Ping"; sid:100000; rev:1;) |
②設定ファイルを編集(新しいルールのパスを定義)
|
1 2 3 4 5 6 7 8 |
# vi /etc/suricata/suricata.yaml # 2320行目あたりに追記 default-rule-path: /var/lib/suricata/rules rule-files: - suricata.rules - local.rules |
③設定ファイルのテスト
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# suricata -T -c /etc/suricata/suricata.yaml -v Notice: suricata: This is Suricata version 8.0.4 RELEASE running in SYSTEM mode Info: cpu: CPUs/cores online: 4 Info: suricata: Running suricata under test mode Info: suricata: Setting engine mode to IDS mode by default Info: exception-policy: master exception-policy set to: auto Info: logopenfile: fast output device (regular) initialized: fast.log Info: logopenfile: eve-log output device (regular) initialized: eve.json Info: logopenfile: stats output device (regular) initialized: stats.log Info: detect: 2 rule files processed. 49921 rules successfully loaded, 0 rules failed, 0 rules skipped Info: threshold-config: Threshold config parsed: 0 rule(s) found Info: detect: 49926 signatures processed. 1268 are IP-only rules, 4485 are inspecting packet payload, 43937 inspect application layer, 110 are decoder event only Notice: suricata: Configuration provided was successfully loaded. Exiting. |
Suricat service再起動
|
1 |
# systemctl restart suricata |
④Custom Rulesの適用テスト
同一ローカルネットワーク上の別のデバイスでpingを実行し、ログに記録されたかどうかを確認する
|
1 2 3 4 |
# cat /var/log/suricata/fast.log 05/01/2026-09:47:57.493904 [**] [1:100000:1] ICMP Ping [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.11.6:8 -> 192.168.11.83:0 05/01/2026-09:47:57.493958 [**] [1:100000:1] ICMP Ping [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.11.83:0 -> 192.168.11.6:0 |
JSON形式のログを取得するには、システムにjqをインストールする
|
1 |
# dnf install jq |
|
1 |
# systemctl restart suricata |
下記コマンドを実行し、同一ローカルネットワーク上の別のデバイスでpingを実行する
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
# tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="alert")' pingを実行するとコンソールに下記のように表示される { "timestamp": "2026-05-01T10:03:19.914396+0900", "flow_id": 2238258836857160, "in_iface": "ens160", "event_type": "alert", "src_ip": "192.168.11.83", "dest_ip": "192.168.11.6", "proto": "ICMP", "ip_v": 4, "icmp_type": 0, "icmp_code": 0, "pkt_src": "wire/pcap", "alert": { "action": "allowed", "gid": 1, "signature_id": 100000, "rev": 1, "signature": "ICMP Ping", "category": "", "severity": 3 }, "direction": "to_client", "flow": { "pkts_toserver": 2, "pkts_toclient": 1, "bytes_toserver": 148, "bytes_toclient": 74, "start": "2026-05-01T10:03:19.914351+0900", "src_ip": "192.168.11.6", "dest_ip": "192.168.11.83" } } |
6. SuricataをIPSに設定する
悪意のあるネットワーク・トラフィックをドロップするようにSuricataをIPSモードで起動するように設定する
①SURICATAの/etc/sysconfig/suricata設定ファイルを編集する
|
1 2 3 4 5 6 7 |
# vi /etc/sysconfig/suricata OPTIONS="-i ens160 --user suricata "行を見つけ、行頭に#を追加してコメントアウトする。 次に、OPTIONS="-q 0 -vvv --user suricata "行を追加し、SURICATAにIPSモードで実行するように指示する . . . # OPTIONS="-i ens160 --user suricata" OPTIONS="-q 0 -vvv --user suricata" |
➁Suricataを再起動
|
1 |
# systemctl restart suricata.service |
➂入ってくるネットワーク・トラフィックをSuricataのNFQUEUEに向ける
Firewalld がインストールされ、有効になっているのでSuricataに必要なルールをFirewalldに追加する
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
FORWARDルールを追加して、サーバーが他のシステムのゲートウェイとして動作している場合、そのトラフィックもすべてSURICATAに行って処理されるようにします。 # firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -j NFQUEUE # firewall-cmd --permanent --direct --add-rule ipv6 filter FORWARD 0 -j NFQUEUE 最後の2つのINPUTとOUTPUTルールは、SSHトラフィックでない残りのトラフィックをすべてSuricataに送って処理させる。 # firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -j NFQUEUE # firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j NFQUEUE IPv6も同様にする # firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 1 -j NFQUEUE # firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 -j NFQUEUE Firewalldをリロード # firewall-cmd --reload |
④SURICATA がトラフィックを正しくドロップしていることを確認
/var/lib/suricata/rules/suricata.rulesにsid:2100498に該当するものがあれば コメントアウトし、/var/lib/suricata/rules/local.rulesにルールを追加
|
1 2 3 |
# vi /var/lib/suricata/rules/local.rules drop ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, confidence Medium, signature_severity Informational, updated_at 2019_07_26;) |
⑤suricata再起動
|
1 |
# systemctl restart suricata |
⑥curlを使ってこのルールをテスト
|
1 2 |
# curl --max-time 5 http://testmynids.org/uid/index.html curl: (28) Operation timed out after 5000 milliseconds with 0 bytes received |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 |
# jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json { "timestamp": "2026-05-01T10:18:45.302127+0900", "flow_id": 1445475746386371, "event_type": "alert", "src_ip": "13.227.50.49", "src_port": 80, "dest_ip": "192.168.11.83", "dest_port": 53078, "proto": "TCP", "ip_v": 4, "pkt_src": "wire/pcap", "alert": { "action": "blocked", "gid": 1, "signature_id": 2100498, "rev": 7, "signature": "GPL ATTACK_RESPONSE id check returned root", "category": "Potentially Bad Traffic", "severity": 2, "metadata": { "confidence": [ "Medium" ], "created_at": [ "2010_09_23" ], "signature_severity": [ "Informational" ], "updated_at": [ "2019_07_26" ] } }, "app_proto": "http", "direction": "to_client", "flow": { "pkts_toserver": 3, "pkts_toclient": 4, "bytes_toserver": 256, "bytes_toclient": 753, "start": "2026-05-01T10:18:45.271015+0900", "src_ip": "192.168.11.83", "dest_ip": "13.227.50.49", "src_port": 53078, "dest_port": 80 } } |
"action": "blocked",になっている
ELK StackとSURICATAの統合
Elastic Stackをインストール&設定して、SURICATAのログをより効率的に可視化&検索できるようにする
本セクションは基本的には2台目のFedora43サーバー(IP:192.168.11.85)で行います
1. Elasticsearchのインストール
1.1 公開署名キーをダウンロードしてインストール
|
1 |
# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch |
1.2 リポジトリ定義を/etc/yum/yum.repos.d ディレクトリに作成
|
1 2 3 4 5 6 7 8 9 10 11 |
# vi /etc/yum.repos.d/elasticsearch.repo 下記内容記述 [elasticsearch] name=Elasticsearch repository for 9.x packages baseurl=https://artifacts.elastic.co/packages/9.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=0 autorefresh=1 type=rpm-md |
1.3 Elasticsearch インストール
|
1 |
# dnf -y install --enablerepo=elasticsearch elasticsearch |
2. Elasticsearch 設定
Elasticsearchはデフォルトでローカル接続のみを受け付けるように設定されています。また、認証が有効になっていないため、Filebeatなどのツールはログを送信できません。今回は、Elasticsearchのネットワーク設定を行い、Elasticsearchに組み込まれているxpackセキュリティモジュールを有効にします。
2.1 Elasticsearchネットワークの設定
ElasticsearchとSURICATAのサーバは別々なので、Elasticsearchがプライベートネットワークインターフェースで接続をリッスンするように設定する必要がある
|
1 2 3 4 5 6 7 8 |
# vi /etc/elasticsearch/elasticsearch.yml 57行目 : Elasticsearch serverのローカルアドレス追加 #network.host: 192.168.0.1 network.host: 192.168.11.85 62行目コメント解除 http.port: 9200 |
2.2 Elasticsearch を起動
|
1 2 3 |
# systemctl daemon-reload # systemctl enable elasticsearch.service # systemctl start elasticsearch.service |
2.3 elasticとkibana_systemのパスワードを作成
elasticユーザとkibana_systemユーザのパスワードは後で使用するので必ずコピーしておく
kibana_systemユーザはKibanaの設定に使用する
elasticユーザはFilebeat、Auditbeatの設定およびKibanaへのログインに使用する
パスワードを忘れた場合は、再度コマンドを使用してパスワードをリセットできます。
[elastic] userのパスワード作成
|
1 2 3 4 5 6 7 8 9 10 |
# cd /usr/share/elasticsearch/bin # ./elasticsearch-reset-password -u elastic This tool will reset the password of the [elastic] user to an autogenerated value. The password will be printed in the console. Please confirm that you would like to continue [y/N]y Password for the [elastic] user successfully reset. New value: 3e4j2IfH1-kE4dJUc6dX |
※Elasticsearch パスワードのリセット
自動生成されたElasticユーザーパスワードが複雑すぎるので、/usr/share/elasticsearch/bin/elasticsearch-reset-passwordコマンドを使ってリセットできます
パスワードをリセットするには、コマンドを実行する
|
1 2 3 4 5 6 7 8 9 10 |
# /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic -i This tool will reset the password of the [elastic] user. You will be prompted to enter the password. Please confirm that you would like to continue [y/N]y Enter password for [elastic]: Re-enter password for [elastic]: Password for the [elastic] user successfully reset. |
[kibana_system]userのパスワード作成
|
1 2 3 4 5 6 7 8 9 10 |
# cd /usr/share/elasticsearch/bin # ./elasticsearch-reset-password -u kibana_system This tool will reset the password of the [kibana_system] user to an autogenerated value. The password will be printed in the console. Please confirm that you would like to continue [y/N]y Password for the [kibana_system] user successfully reset. New value: ara*akETsDrzSO2v6ZrG |
3. Kibana のインストールと設定
本セクションは基本的には2台目のFedora43サーバー(IP:192.168.11.85)で行います
3.1 Kibanaインストール
|
1 2 3 4 5 6 |
# dnf -y install --enablerepo=elasticsearch kibana Installed: kibana-9.3.4-1.x86_64 Complete! |
3.2 xpackセキュリティモジュールの設定
Kibana の xpack セキュリティ機能を有効にして、Kibana が Elasticsearch にデータを保存するために使用するいくつかの暗号化キーを作成する。
暗号化キーは、/usr/share/kibana/bin ディレクトリに含まれる kibana-encryption-keys ユーティリティを使用して作成する。
作成した3つのキーを安全な場所に保存しておく
|
1 2 3 4 5 |
# cd /usr/share/kibana/bin/ # ./kibana-encryption-keys generate -q --force xpack.encryptedSavedObjects.encryptionKey: 03440d3699ef6dcdbf483321c80ef916ae64dacdf625a40507a45d93cf6488ed xpack.reporting.encryptionKey: 73f656229deab91d9ea7e50f7ed0414803268e966d88c59e951e80490defb6ed xpack.security.encryptionKey: 0c6d93e8bf2aaa0983c7760332289b92ffc7aa23c4bb2ce9c3f74e492a8ce3b3 |
これらのキーをKibanaの/etc/kibana/kibana.yml設定ファイルに追加する
|
1 2 3 4 5 6 |
# vi /etc/kibana/kibana.yml 最終行に記述 xpack.encryptedSavedObjects.encryptionKey: 03440d3699ef6dcdbf483321c80ef916ae64dacdf625a40507a45d93cf6488ed xpack.reporting.encryptionKey: 73f656229deab91d9ea7e50f7ed0414803268e966d88c59e951e80490defb6ed xpack.security.encryptionKey: 0c6d93e8bf2aaa0983c7760332289b92ffc7aa23c4bb2ce9c3f74e492a8ce3b3 |
3.2 Kibana ネットワークの設定
|
1 2 3 4 5 6 7 8 |
# vi /etc/kibana/kibana.yml 6行目 : コメント解除 server.port: 5601 12行目サーバーのプライベートIPアドレス(192.168.11.85)を追加 #server.host: "localhost" server.host: "192.168.11.85" |
3.3 Kibana-Elasticsearch Enrollment Token の生成
Kibana インスタンスを、セキュリティ機能が有効になっている既存の Elasticsearch クラスタと通信するように設定するには、登録トークンが必要です。Kibana 用の Enrollment Token は以下のコマンドで生成できる
|
1 2 3 |
# /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana eyJ2ZXIiOiI4LjE0LjAiLCJhZHIiOlsiMTkyLjE2OC4xMS44NTo5MjAwIl0sImZnciI6IjkxMTJiNjJkM2UxOGJjNzI1NzkwNDRkNzFlZmRmNzhjNmYxOGM2Y2E4ODgxMGZhNTE5NWEzYTVjMDZkOTIwNDIiLCJrZXkiOiJaNjZmNFowQnI4c3pCVGE2czZ0dDprQ1A0V3NQMUtXZjRVMzJNaVpLYkZBIn0= |
3.4 Kibanaの起動
Kibana 9 を起動し、システム起動時に実行できるようにする。
|
1 2 |
# systemctl enable --now kibana # systemctl start kibana |
ステータス確認
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
# systemctl status kibana ● kibana.service - Kibana Loaded: loaded (/usr/lib/systemd/system/kibana.service; enabled; preset: disabled) Drop-In: /usr/lib/systemd/system/service.d mq10-timeout-abort.conf Active: active (running) since Fri 2026-05-01 12:40:59 JST; 2min 15s ago Invocation: 1b3213c01aa744a6bab68e7d6c23ea45 Docs: https://www.elastic.co Main PID: 4858 (node) Tasks: 11 (limit: 3435) Memory: 435.2M (peak: 558.2M) CPU: 17.443s CGroup: /system.slice/kibana.service mq4858 /usr/share/kibana/bin/../node/glibc-217/bin/node /usr/share/kibana/bin/../src/cli/kibana/dist May 01 12:41:01 Lion kibana[4858]: Native global console methods have been overridden in production environment. May 01 12:41:04 Lion kibana[4858]: [2026-05-01T12:41:04.060+09:00][INFO ][root] Kibana is starting May 01 12:41:04 Lion kibana[4858]: [2026-05-01T12:41:04.141+09:00][INFO ][node] Kibana process configured with roles: [background_tasks, ui] May 01 12:41:18 Lion kibana[4858]: [2026-05-01T12:41:18.852+09:00][INFO ][plugins-service] The following plugins are disabled: "automaticImportV> May 01 12:41:18 Lion kibana[4858]: [2026-05-01T12:41:18.955+09:00][INFO ][http.server.Preboot] http server running at http://192.168.11.85:5601 May 01 12:41:19 Lion kibana[4858]: [2026-05-01T12:41:19.088+09:00][INFO ][plugins-system.preboot] Setting up [1] plugins: [interactiveSetup] May 01 12:41:19 Lion kibana[4858]: [2026-05-01T12:41:19.108+09:00][INFO ][preboot] "interactiveSetup" plugin is holding setup: Validating Elasti> May 01 12:41:19 Lion kibana[4858]: [2026-05-01T12:41:19.139+09:00][INFO ][root] Holding setup until preboot stage is completed. May 01 12:41:26 Lion kibana[4858]: i Kibana has not been configured. May 01 12:41:26 Lion kibana[4858]: Go to http://192.168.11.85:5601/?code=277338 to get started. |
出力の最後のほうに以下のように表示される
Go to http://192.168.11.85:5601/?code=277338 to get started.
提供されたKibanaのURL(codeを含む)をコピーしてブラウザで使用し、Kibanaにアクセスしてセットアップを完了する。
4. Kibana9 ダッシュボードにアクセスする
http://192.168.11.85:5601/?code=277338にアクセスする
(各自の適切なアドレスをコピー)
Firewallが起動している場合は、Kibanaポートを開く
|
1 2 3 |
# firewall-cmd --add-port=5601/tcp --permanent # firewall-cmd --reload |
Kibana 9にアクセスすると、ウェルカムページでElasticの設定を求められます。
最初に、生成した登録トークンを入力する。
/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana, コマンドを使用して生成された Kibana トークンをコピーし、ボックスに貼り付ける
http://192.168.11.85:5601/?code=277338にアクセス
トークンをペーストすると、Kibana が自動的に Elasticsearch に接続します。
Configure Elastic をクリックします。設定が保存され、Elasticsearch が設定、再起動されます。
ログインページに移動します。生成されたElasticユーザー認証情報を使用してログインします。
Username : elastic
Password : わかりやすく再生成したパスワード
ウェルカムページで、「Explore on my own」をクリックしてKibana 9.xダッシュボードに進む。
elasticスーパーユーザーアカウントを使う必要がないように、新しいユーザーアカウントを作成します。
メインメニューを開き、Stack Management >Security> Users
右上の"Create user"ボタンをクリック
新規ユーザー情報を入力し、Privilegesでkibana_admin、kibana_system、monitoring_user、editorのロールを割り当てる
最後に[Create user]をクリックする
現在のプロファイルからログアウトし、新しく作成したユーザーアカウントでログインできることを確認する。現在、SURICATAのホストでFilebeatとAuditbeatを設定していないため、Kibanaで表示できるデータがありません。
SURICATAサーバにFilebeatをインストール
本作業はSuricataをインストールした1台目のFedora44サーバー(IP:192.168.11.83)で作業する
1. Filebeat インストール
1.1 Elastic GPGキーをダウンロード
|
1 |
# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch |
1.2 /etc/yum/yum.repos.dディレクトリにelasticsearch.repoファイルを以下の内容で、作成
|
1 2 3 4 5 6 7 8 9 10 11 |
# vi /etc/yum.repos.d/elasticsearch.repo 以下内容を記述 [elasticsearch] name=Elasticsearch repository for 9.x packages baseurl=https://artifacts.elastic.co/packages/9.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=0 autorefresh=1 type=rpm-md |
1.3 Filebeatをインストール
|
1 2 3 4 5 |
# dnf -y install --enablerepo=elasticsearch filebeat [1/3] Verify package files 100% | 2.0 B/s | 1.0 B | 00m00s [2/3] Prepare transaction 100% | 4.0 B/s | 1.0 B | 00m00s [3/3] Installing filebeat-0:9.3.4-1.x86_64 100% | 42.8 MiB/s | 252.1 MiB | 00m06s Complete! |
1.4 Elasticsearch CA証明書作成
Elasticsearch CA証明書をダウンロードし、任意のディレクトリに保存します(今回は/etc/filebeat/elastic-ca.crtとして保存します)
※第2サーバー(Fedora43 Elasticsearchを導入したサーバー)で9200ポートを開放しておく
|
1 2 3 |
# openssl s_client -connect 192.168.11.85:9200 \ -showcerts </dev/null 2>/dev/null | \ openssl x509 -outform PEM > /etc/filebeat/elastic-ca.crt |
1.4 FilebeatをElasticsearchとKibanaに接続するように設定
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
# vi /etc/filebeat/filebeat.yml 137行目コメントアウトされた#host: "localhost:5601"行の下に、KibanaインスタンスのプライベートIPアドレスとポートを指す行を追加する host: "192.168.11.85:5601" 164行目 : コメントアウト #hosts: ["localhost:9200"] 165行目 : Elastic Stack のipアドレスとelasticsearchのポート番号を入力 hosts: ["https://192.168.11.85:9200"] 171行目 : コメント解除 protocol: "https" 172行目 : Elasticsearch CA証明書指定 ssl.certificate_authorities: ["/etc/filebeat/elastic-ca.crt"] 175,176行目コメント解除し、[username]はデフォルトのままにし、[password]は[elastic]ユーザーのパスワードを入力する username: "elastic" password: “xxxxxxxxx" |
1.5 設定ファイルテスト
|
1 2 |
# filebeat test config Config OK |
1.6 Filebeatsの組み込みSuricataモジュールを有効にする
|
1 |
# filebeat modules enable suricata |
上記コマンドにより /etc/filebeat/modules.d/suricata.yml.disabled が/etc/filebeat/modules.d/suricata.yml になりますが内容は変化しませんので以下のように編集します
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
# vi /etc/filebeat/modules.d/suricata.yml # Module: suricata # Docs: https://www.elastic.co/guide/en/beats/filebeat/main/filebeat-module-suricata.html - module: suricata # All logs eve: enabled: true var.paths: ["/var/log/suricata/eve.json"] # Set custom paths for the log files. If left empty, # Filebeat will choose the paths depending on your OS. #var.paths: |
1.7 初期環境をセットアップ
Suricataサービスにpipeline
SIEMダッシュボードをElasticsearchにロードします
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# filebeat setup -e -------------------------------------------------------------------------------- {"log.level":"info","@timestamp":"2026-05-01T12:58:15.276+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.newModuleRegistry","file.name":"fileset/modules.go","file.line":138},"message":"Enabled modules/filesets: suricata (eve)","service.name":"filebeat","ecs.version":"1.6.0"} {"log.level":"info","@timestamp":"2026-05-01T12:58:15.389+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.3.4-suricata-eve-pipeline","ecs.version":"1.6.0"} {"log.level":"info","@timestamp":"2026-05-01T12:58:15.441+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.3.4-suricata-eve-dns","ecs.version":"1.6.0"} {"log.level":"info","@timestamp":"2026-05-01T12:58:15.487+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.3.4-suricata-eve-dns-answer-v1","ecs.version":"1.6.0"} {"log.level":"info","@timestamp":"2026-05-01T12:58:15.535+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.3.4-suricata-eve-dns-answer-v2","ecs.version":"1.6.0"} {"log.level":"info","@timestamp":"2026-05-01T12:58:15.592+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.3.4-suricata-eve-tls","ecs.version":"1.6.0"} {"log.level":"info","@timestamp":"2026-05-01T12:58:15.639+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.3.4-suricata-eve-http","ecs.version":"1.6.0"} ------------------------------------------------------------------------------------- |
1.6 Filebeatサービスを開始
|
1 |
# systemctl start filebeat.service |
2. Kibanaで確認
作成したユーザーでKibanaにログインし直します。http://192.168.11.85:5601にアクセスします。
一番上の検索フィールドに「Suricata Events Overview」と入力し、[Filebeat Suricata]Events Overviewをクリック
過去 15 分間のすべての Suricata イベントが表示されます
悪質なトラフィックのアラートを表示するにはSuricataロゴの横にあるAlertsテキストをクリック
Kibana には、ログを視覚化するためのさまざまな機能とツールがありますのでいろいろと試してください。