前提条件
1.Suricata
SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。
2.Elastic Stack,Kibana,Filebeat
Elastic Stackをインストール&設定して、Kibana,Filebeatを使用してSURICATAのログを可視化&検索できるようにする
今回はSuricata IDS と ElasticStack を 次のサーバーにインストールします
・1台目サーバー Suricata IDS & Filebeat : Rocky Linux10.2 IPアドレス(192.168.11.83)
・2台目サーバー ElasticStack & kibana : Rocky Linux10.1 IPアドレス(192.168.11.85)
root以外のsudoユーザーで実行する
1台目サーバー : Suricata インストール
1.Suricata のインストールと設定
①Suricata のインストール
# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-10.noarch.rpm
# dnf install yum-plugin-copr
# dnf copr enable @oisf/suricata-8.0
# dnf -y install suricata
バージョンチェック
# suricata -V
This is Suricata version 8.0.4 RELEASE
②Suricataがネットワークパケットを検査するインターフェースとIPアドレスを決定
# ip --brief add
lo UNKNOWN 127.0.0.1/8 ::1/128
ens160 UP 192.168.11.83/24 fe80::20c:29ff:fe38:c59d/64
③設定ファイルを編集
# vi /etc/suricata/suricata.yaml
18行目 : コメントアウトしてその下に追加(varsセクションで、ネットワークを定義する)
#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
HOME_NET: "[192.168.11.0/24]"
158行目あたり : 変更
community-id: false → community-id: true
661行目あたり : af-packetセクションのインターフェース名を設定
af-packet:
- interface: ens160
# vi /etc/sysconfig/suricata
# 8行目 :インターフェイスを変更
# Add options to be passed to the daemon
OPTIONS="-i ens160 --user suricata "
④Suricataのルール更新
# suricata-update
⑤Suricataの起動
# systemctl enable --now suricata
Created symlink '/etc/systemd/system/multi-user.target.wants/suricata.service' → '/usr/lib/systemd/system/suricata.service'.
⑥Suricataの起動確認
# systemctl status suricata
● suricata.service - Suricata Intrusion Detection Service
Loaded: loaded (/usr/lib/systemd/system/suricata.service; enabled; preset: disabled)
Active: active (running) since Wed 2026-06-03 17:18:34 JST; 24s ago
Invocation: 2bf0e1e9e6384ca9af75741cd8492bef
Docs: man:suricata(1)
Process: 5324 ExecStartPre=/bin/rm -f /var/run/suricata.pid (code=exited, status=0/SUCCESS)
Main PID: 5325 (Suricata-Main)
Tasks: 8 (limit: 22808)
Memory: 398M (peak: 398.5M)
CPU: 17.051s
CGroup: /system.slice/suricata.service
└─5325 /sbin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid>
Jun 03 17:18:34 Lepard systemd[1]: Starting suricata.service - Suricata Intrusion Detection Servi>
Jun 03 17:18:34 Lepard systemd[1]: Started suricata.service - Suricata Intrusion Detection Servic>
Jun 03 17:18:34 Lepard suricata[5325]: i: suricata: This is Suricata version 8.0.4 RELEASE runnin>
Jun 03 17:18:52 Lepard suricata[5325]: i: threads: Threads created -> W: 2 FM: 1 FR: 1 Engine s
ログを確認
# tail /var/log/suricata/suricata.log
[5325 - Suricata-Main] 2026-06-03 17:18:34 Info: logopenfile: fast output device (regular) initialized: fast.log
[5325 - Suricata-Main] 2026-06-03 17:18:34 Info: logopenfile: eve-log output device (regular) initialized: eve.json
[5325 - Suricata-Main] 2026-06-03 17:18:34 Info: logopenfile: stats output device (regular) initialized: stats.log
[5325 - Suricata-Main] 2026-06-03 17:18:50 Info: detect: 1 rule files processed. 50128 rules successfully loaded, 0 rules failed, 0 rules skipped
[5325 - Suricata-Main] 2026-06-03 17:18:50 Info: threshold-config: Threshold config parsed: 0 rule(s) found
[5325 - Suricata-Main] 2026-06-03 17:18:50 Info: detect: 50133 signatures processed. 988 are IP-only rules, 4490 are inspecting packet payload, 44419 inspect application layer, 110 are decoder event only
[5325 - Suricata-Main] 2026-06-03 17:18:51 Info: unix-manager: unix socket '/var/run/suricata/suricata-command.socket'
[5325 - Suricata-Main] 2026-06-03 17:18:51 Info: runmodes: ens160: creating 2 threads
[5337 - W#01-ens160] 2026-06-03 17:18:51 Info: ioctl: ens160: MTU 1500
[5325 - Suricata-Main] 2026-06-03 17:18:52 Notice: threads: Threads created -> W: 2 FM: 1 FR: 1 Engine started.
統計情報を確認するには、stats.log ファイルを確認します(デフォルトで8秒ごとに更新)
# tail -f /var/log/suricata/stats.log
より高度な出力であるEVE JSONは、以下のコマンドで生成することができる
# tail -f /var/log/suricata/eve.json
2.Suricata のテスト
①curl ユーティリティで ping テストを実行
# curl http://testmynids.org/uid/index.html
uid=0(root) gid=0(root) groups=0(root)
②指定されたルール番号を使用してログファイルを確認する
Suricataには、デフォルトで有効になっている次の2つのログファイルが付属しています。
/var/log/suricata/fast.log
/var/log/suricata/eve.log
curlリクエストに対応するログエントリーを確認するために、/var/log/suricata/fast.log ログファイルをgrepコマンドを使用してチェックします。2100498 ルール識別子を使用してログエントリーを検索します。(IPv4の場合)
# grep 2100498 /var/log/suricata/fast.log
06/03/2026-17:21:26.413649 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.227.50.46:80 -> 192.168.11.83:40126
③/var/log/suricata/eve.log のイベント確認
jq をインストール
# dnf -y install jq
2100498シグネチャを検索して、EVEログのイベントをフィルタリング
2100498の値と一致するsignature_idキーを持つalertオブジェクトを表示
# jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
{
"timestamp": "2026-06-03T17:21:26.413649+0900",
"flow_id": 1422615048963260,
"in_iface": "ens160",
"event_type": "alert",
"src_ip": "13.227.50.46",
"src_port": 80,
"dest_ip": "192.168.11.83",
"dest_port": 40126,
"proto": "TCP",
"ip_v": 4,
"pkt_src": "wire/pcap",
"community_id": "1:KqWkU7ntbnI8Ete9webUKD1vTk8=",
"alert": {
"action": "allowed",
"gid": 1,
"signature_id": 2100498,
"rev": 7,
"signature": "GPL ATTACK_RESPONSE id check returned root",
"category": "Potentially Bad Traffic",
"severity": 2,
"metadata": {
"confidence": [
"Medium"
],
"created_at": [
"2010_09_23"
],
"signature_severity": [
"Informational"
],
"updated_at": [
"2019_07_26"
]
}
},
"app_proto": "http",
"direction": "to_client",
"flow": {
"pkts_toserver": 5,
"pkts_toclient": 4,
"bytes_toserver": 430,
"bytes_toclient": 799,
"start": "2026-06-03T17:21:25.724444+0900",
"src_ip": "192.168.11.83",
"dest_ip": "13.227.50.46",
"src_port": 40126,
"dest_port": 80
}
}
3.Suricata Rulesの設定
①Suricataにパッケージされているルールセットの表示
# ls -al /var/lib/suricata/rules/
total 42480
drwxr-s--- 2 root suricata 57 Jun 3 17:17 .
drwxrws--- 5 suricata suricata 46 Jun 3 17:18 ..
-rw-r--r-- 1 root suricata 3228 Jun 3 17:17 classification.config
-rw-r--r-- 1 root suricata 43493170 Jun 3 17:17 suricata.rules
②ルールセットを提供するソースのインデックス一覧
# suricata-update list-sources
Name: abuse.ch/feodotracker
Vendor: Abuse.ch
Summary: Abuse.ch Feodo Tracker Botnet C2 IP ruleset
License: CC0-1.0
Name: abuse.ch/sslbl-blacklist
Vendor: Abuse.ch
Summary: Abuse.ch SSL Blacklist
License: CC0-1.0
Replaces: sslbl/ssl-fp-blacklist
Name: abuse.ch/sslbl-c2
Vendor: Abuse.ch
Summary: Abuse.ch Suricata Botnet C2 IP Ruleset
License: CC0-1.0
Name: abuse.ch/sslbl-ja3
Vendor: Abuse.ch
Summary: Abuse.ch Suricata JA3 Fingerprint Ruleset
License: CC0-1.0
Replaces: sslbl/ja3-fingerprints
Name: abuse.ch/urlhaus
Vendor: abuse.ch
Summary: Abuse.ch URLhaus Suricata Rules
License: CC0-1.0
Name: aleksibovellan/nmap
Vendor: aleksibovellan
Summary: Suricata IDS/IPS Detection Rules Against NMAP Scans
License: MIT
Name: et/open
Vendor: Proofpoint
Summary: Emerging Threats Open Ruleset
License: MIT
Name: et/pro
Vendor: Proofpoint
Summary: Emerging Threats Pro Ruleset
License: Commercial
Replaces: et/open
Parameters: secret-code
Subscription: https://www.proofpoint.com/us/threat-insight/et-pro-ruleset
Name: etnetera/aggressive
Vendor: Etnetera a.s.
Summary: Etnetera aggressive IP blacklist
License: MIT
Name: oisf/trafficid
Vendor: OISF
Summary: Suricata Traffic ID ruleset
License: MIT
Name: pawpatrules
Vendor: pawpatrules
Summary: PAW Patrules is a collection of rules for IDPS / NSM Suricata engine
License: CC-BY-SA-4.0
Name: ptrules/open
Vendor: Positive Technologies
Summary: Positive Technologies Open Ruleset
License: Custom
Name: scwx/enhanced
Vendor: Secureworks
Summary: Secureworks suricata-enhanced ruleset
License: Commercial
Parameters: secret-code
Subscription: https://www.secureworks.com/contact/ (Please reference CTU Countermeasures)
Name: scwx/malware
Vendor: Secureworks
Summary: Secureworks suricata-malware ruleset
License: Commercial
Parameters: secret-code
Subscription: https://www.secureworks.com/contact/ (Please reference CTU Countermeasures)
Name: scwx/security
Vendor: Secureworks
Summary: Secureworks suricata-security ruleset
License: Commercial
Parameters: secret-code
Subscription: https://www.secureworks.com/contact/ (Please reference CTU Countermeasures)
Name: stamus/lateral
Vendor: Stamus Networks
Summary: Lateral movement rules
License: GPL-3.0-only
Name: stamus/nrd-14-open
Vendor: Stamus Networks
Summary: Newly Registered Domains Open only - 14 day list, complete
License: Commercial
Parameters: secret-code
Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
Name: stamus/nrd-30-open
Vendor: Stamus Networks
Summary: Newly Registered Domains Open only - 30 day list, complete
License: Commercial
Parameters: secret-code
Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
Name: stamus/nrd-entropy-14-open
Vendor: Stamus Networks
Summary: Newly Registered Domains Open only - 14 day list, high entropy
License: Commercial
Parameters: secret-code
Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
Name: stamus/nrd-entropy-30-open
Vendor: Stamus Networks
Summary: Newly Registered Domains Open only - 30 day list, high entropy
License: Commercial
Parameters: secret-code
Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
Name: stamus/nrd-phishing-14-open
Vendor: Stamus Networks
Summary: Newly Registered Domains Open only - 14 day list, phishing
License: Commercial
Parameters: secret-code
Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
Name: stamus/nrd-phishing-30-open
Vendor: Stamus Networks
Summary: Newly Registered Domains Open only - 30 day list, phishing
License: Commercial
Parameters: secret-code
Subscription: https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
Name: tgreen/hunting
Vendor: tgreen
Summary: Threat hunting rules
License: GPLv3
③ソースを有効にする(tgreen/huntingを有効にする場合)
# suricata-update enable-source tgreen/hunting
3/6/2026 -- 17:25:12 - <Info> -- Using data-directory /var/lib/suricata.
3/6/2026 -- 17:25:12 - <Info> -- Using Suricata configuration /etc/suricata/suricata.yaml
3/6/2026 -- 17:25:12 - <Info> -- Using /usr/share/suricata/rules for Suricata provided rules.
3/6/2026 -- 17:25:12 - <Info> -- Found Suricata version 8.0.4 at /usr/sbin/suricata.
3/6/2026 -- 17:25:12 - <Warning> -- Source index does not exist, will use bundled one.
3/6/2026 -- 17:25:12 - <Warning> -- Please run suricata-update update-sources.
3/6/2026 -- 17:25:12 - <Info> -- Creating directory /var/lib/suricata/update/sources
3/6/2026 -- 17:25:12 - <Info> -- Enabling default source et/open
3/6/2026 -- 17:25:12 - <Info> -- Source tgreen/hunting enabled
アップデートを実行
# suricata-update update-sources
Suricata service再起動
# systemctl restart suricata
4. SuricataをIPSに設定する
悪意のあるネットワーク・トラフィックをドロップするようにSuricataをIPSモードで起動するように設定する
非SSHポートへのSSHトラフィックをスキャンする以下のカスタム署名を作成し、/var/lib/suricata/rules/local.rulesというファイルにインクルードする(SSHポートは22と仮定する)
# vi /var/lib/suricata/rules/local.rules
alert ssh any any -> 192.168.11.83 !22 (msg:"SSH TRAFFIC on non-SSH port"; flow:to_client, not_established; classtype: misc-attack; target: dest_ip; sid:1000000;)
/etc/suricata/suricata.yaml設定ファイルを編集し、local.rulesをインクルードする
# vi /etc/suricata/suricata.yaml
2320行目あたりに追加
rule-files:
- suricata.rules
- local.rules
SURICATAの設定を検証
# suricata -T -c /etc/suricata/suricata.yaml -v
--------------------------------------------------
Info: detect: 50134 signatures processed. 988 are IP-only rules, 4490 are inspecting packet payload, 44420 inspect application layer, 110 are decoder event only
Notice: suricata: Configuration provided was successfully loaded. Exiting.
SURICATAの/etc/sysconfig/suricata設定ファイルを編集する
# vi /etc/sysconfig/suricata
8行目 : コメントにして、その下に追加(SURICATAにIPSモードで実行するように指示する)
# OPTIONS="-i ens160 --user suricata"
OPTIONS="-q 0 -vvv --user suricata"
Suricataを再起動
# systemctl restart suricata.service
ステータス確認
# systemctl status suricata.service
● suricata.service - Suricata Intrusion Detection Service
Loaded: loaded (/usr/lib/systemd/system/suricata.service; enabled; preset: disabled)
Active: active (running) since Wed 2026-06-03 17:43:19 JST; 30s ago
Invocation: 8539300ea82b4c0f903017ca19c5c42b
Docs: man:suricata(1)
Process: 7133 ExecStartPre=/bin/rm -f /var/run/suricata.pid (code=exited, status=0/SUCCESS)
Main PID: 7135 (Suricata-Main)
Tasks: 10 (limit: 22808)
Memory: 405.4M (peak: 405.4M)
CPU: 17.009s
CGroup: /system.slice/suricata.service
└─7135 /sbin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid>
Jun 03 17:43:36 Lepard suricata[7135]: [7135] Perf: mpm-hs-cache: rule group caching - loaded: 11>
Jun 03 17:43:36 Lepard suricata[7135]: [7135] Info: unix-manager: unix socket '/var/run/suricata/>
Jun 03 17:43:36 Lepard suricata[7135]: [7135] Config: tmqh-flow: AutoFP mode using "Hash" flow lo>
Jun 03 17:43:36 Lepard suricata[7135]: [7147] Info: nfq: binding this thread 0 to queue '0'
Jun 03 17:43:36 Lepard suricata[7135]: [7147] Info: nfq: setting queue length to 4096
Jun 03 17:43:36 Lepard suricata[7135]: [7147] Info: nfq: setting nfnl bufsize to 6144000
Jun 03 17:43:36 Lepard suricata[7135]: [7135] Config: flow-manager: using 1 flow manager threads
Jun 03 17:43:36 Lepard suricata[7135]: [7135] Config: flow-manager: using 1 flow recycler threads
Jun 03 17:43:36 Lepard suricata[7135]: [7135] Config: log-flush: log flusher thread not used with>
Jun 03 17:43:36 Lepard suricata[7135]: [7135] Notice: threads: Threads created -> RX: 1 W: 2 TX: >
入ってくるネットワーク・トラフィックをSuricataのNFQUEUEに向ける
Firewalld がインストールされ、有効になっているのでSuricataに必要なルールをFirewalldに追加する(SSHポートは22と仮定する)
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -j NFQUEUE --queue-bypass
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp --sport 22 -j NFQUEUE --queue-bypass
IPv6用の同じルールを追加する:
# firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 0 -p tcp --dport 22 -j NFQUEUE --queue-bypass
# firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -p tcp --sport 22 -j NFQUEUE --queue-bypas
FORWARDルールを追加して、サーバーが他のシステムのゲートウェイとして動作している場合、そのトラフィックもすべてSURICATAに行って処理されるようにします。
# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -j NFQUEUE
# firewall-cmd --permanent --direct --add-rule ipv6 filter FORWARD 0 -j NFQUEUE
最後の2つのINPUTとOUTPUTルールは、SSHトラフィックでない残りのトラフィックをすべてSuricataに送って処理させる。
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -j NFQUEUE
# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j NFQUEUE
IPv6も同様にする
# firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT 1 -j NFQUEUE
# firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 -j NFQUEUE
Firewalldをリロード
# firewall-cmd --reload
SURICATA がトラフィックを正しくドロップしていることを確認
シグネチャのデフォルトアクションをalertやlogからactive dropping trafficに切り替える
/var/lib/suricata/rules/suricata.rulesファイルを開き、sid:2100498に該当するものがあれば コメントアウトする
# vi /var/lib/suricata/rules/suricata.rules
#alert ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, confidence Medium, signature_severity Informational, updated_at 2019_07_26;)
/var/lib/suricata/rules/local.rulesにsid:2100498として新規作成する
# vi /var/lib/suricata/rules/local.rules
drop ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, confidence Medium, signature_severity Informational, updated_at 2019_07_26;)
シグネチャを再読み込み
# kill -usr2 $(pidof suricata)
curlを使ってこのルールをテスト
# curl --max-time 5 http://testmynids.org/uid/index.html
curl: (28) Operation timed out after 5001 milliseconds with 0 out of 39 bytes received
jqを使ってeve.logファイルを調べる
# jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json
{
"timestamp": "2026-06-03T18:43:21.925871+0900",
"flow_id": 532678843688497,
"event_type": "alert",
"src_ip": "13.227.50.36",
"src_port": 80,
"dest_ip": "192.168.11.83",
"dest_port": 38656,
"proto": "TCP",
"ip_v": 4,
"pkt_src": "wire/pcap",
"community_id": "1:HmbWtwfm0Ea1YOZJaYlZKsVSecQ=",
"alert": {
"action": "blocked",
"gid": 1,
"signature_id": 2100498,
"rev": 7,
"signature": "GPL ATTACK_RESPONSE id check returned root",
"category": "Potentially Bad Traffic",
"severity": 2,
"metadata": {
"confidence": [
"Medium"
],
"created_at": [
"2010_09_23"
],
"signature_severity": [
"Informational"
],
"updated_at": [
"2019_07_26"
]
}
},
"app_proto": "http",
"direction": "to_client",
"flow": {
"pkts_toserver": 3,
"pkts_toclient": 4,
"bytes_toserver": 256,
"bytes_toclient": 753,
"start": "2026-06-03T18:43:21.910455+0900",
"src_ip": "192.168.11.83",
"dest_ip": "13.227.50.36",
"src_port": 38656,
"dest_port": 80
}
}
"action": "blocked",になっている
ELK StackとSURICATAの統合
Elastic Stackをインストール&設定して、SURICATAのログをより効率的に可視化&検索できるようにする
本セクションは基本的には2台目のRockyLinux10.1サーバーで行います
1. Elasticsearchのインストール
1.1 公開署名キーをダウンロードしてインストール
# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
1.2 リポジトリ定義を/etc/yum/yum.repos.d ディレクトリに作成
# vi /etc/yum.repos.d/elasticsearch.repo
下記内容記述
[elasticsearch]
name=Elasticsearch repository for 9.x packages
baseurl=https://artifacts.elastic.co/packages/9.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=0
autorefresh=1
type=rpm-md
1.3 Elasticsearch インストール
# dnf -y install --enablerepo=elasticsearch elasticsearch
2. Elasticsearch 設定
Elasticsearchはデフォルトでローカル接続のみを受け付けるように設定されています。また、認証が有効になっていないため、Filebeatなどのツールはログを送信できません。今回は、Elasticsearchのネットワーク設定を行い、Elasticsearchに組み込まれているxpackセキュリティモジュールを有効にします。
2.1 Elasticsearchネットワークの設定
ElasticsearchとSURICATAのサーバは別々なので、Elasticsearchがプライベートネットワークインターフェースで接続をリッスンするように設定する必要がある
# vi /etc/elasticsearch/elasticsearch.yml
57行目 : Elasticsearch serverのローカルアドレス追加
#network.host: 192.168.0.1
network.host: 192.168.11.85
62行目コメント解除
http.port: 9200
2.2 Elasticsearch を起動
# systemctl daemon-reload
# systemctl enable elasticsearch.service
# systemctl start elasticsearch.service
2.3 elasticとkibana_systemのパスワードを作成
elasticユーザとkibana_systemユーザのパスワードは後で使用するので必ずコピーしておく
kibana_systemユーザはKibanaの設定に使用する
elasticユーザはFilebeat、Auditbeatの設定およびKibanaへのログインに使用する
パスワードを忘れた場合は、再度コマンドを使用してパスワードをリセットできます。
[elastic] userのパスワード作成
# cd /usr/share/elasticsearch/bin
# ./elasticsearch-reset-password -u elastic
This tool will reset the password of the [elastic] user to an autogenerated value.
The password will be printed in the console.
Please confirm that you would like to continue [y/N]y
Password for the [elastic] user successfully reset.
New value: w76lGmInpdi1GHOyKnRi
※Elasticsearch パスワードのリセット
自動生成されたElasticユーザーパスワードが複雑すぎるので、/usr/share/elasticsearch/bin/elasticsearch-reset-passwordコマンドを使ってリセットできます
パスワードをリセットするには、コマンドを実行する
# /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic -i
This tool will reset the password of the [elastic] user.
You will be prompted to enter the password.
Please confirm that you would like to continue [y/N]y
Enter password for [elastic]:
Re-enter password for [elastic]:
Password for the [elastic] user successfully reset.
[kibana_system]userのパスワード作成
# cd /usr/share/elasticsearch/bin
# ./elasticsearch-reset-password -u kibana_system
This tool will reset the password of the [kibana_system] user to an autogenerated value.
The password will be printed in the console.
Please confirm that you would like to continue [y/N]y
Password for the [kibana_system] user successfully reset.
New value: GeTWKtBIvVl+ag4OKgMr
3. Kibana のインストールと設定
本セクションは基本的には2台目のRockyLinux10.1サーバーで行います
3.1 Kibanaインストール
# dnf -y install --enablerepo=elasticsearch kibana
Installed:
kibana-9.4.2-1.x86_64
Complete!
3.2 xpackセキュリティモジュールの設定
Kibana の xpack セキュリティ機能を有効にして、Kibana が Elasticsearch にデータを保存するために使用するいくつかの暗号化キーを作成する。
暗号化キーは、/usr/share/kibana/bin ディレクトリに含まれる kibana-encryption-keys ユーティリティを使用して作成する。
作成した3つのキーを安全な場所に保存しておく
# cd /usr/share/kibana/bin/
# ./kibana-encryption-keys generate -q --force
xpack.encryptedSavedObjects.encryptionKey: 0c59ba54bd0ed01f121cc16d4d40ce1533546fc5988e113a02c3c0029963b868
xpack.reporting.encryptionKey: 41fff79903def10b28e41e8ed8ec39c555473b82d91c7980537eb91241ef2ffa
xpack.security.encryptionKey: 1e13328d547f556dca72ae2469c91ddadbcbbb5bbf110ad0b027481a01396bd4
これらのキーをKibanaの/etc/kibana/kibana.yml設定ファイルに追加する
# vi /etc/kibana/kibana.yml
最終行に記述
xpack.encryptedSavedObjects.encryptionKey: 0c59ba54bd0ed01f121cc16d4d40ce1533546fc5988e113a02c3c0029963b868
xpack.reporting.encryptionKey: 41fff79903def10b28e41e8ed8ec39c555473b82d91c7980537eb91241ef2ffa
xpack.security.encryptionKey: 1e13328d547f556dca72ae2469c91ddadbcbbb5bbf110ad0b027481a01396bd4
3.2 Kibana ネットワークの設定
# vi /etc/kibana/kibana.yml
6行目 : コメント解除
server.port: 5601
12行目 : サーバーのプライベートIPアドレス(192.168.11.85)を追加
#server.host: "localhost"
server.host: "192.168.11.85"
3.3 Kibana-Elasticsearch Enrollment Token の生成
Kibana インスタンスを、セキュリティ機能が有効になっている既存の Elasticsearch クラスタと通信するように設定するには、登録トークンが必要です。Kibana 用の Enrollment Token は以下のコマンドで生成できる
# /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana
eyJ2ZXIiOiI4LjE0LjAiLCJhZHIiOlsiMTkyLjE2OC4xMS44NTo5MjAwIl0sImZnciI6IjMyNzBkNDExYTBmZTQxODkwM2E5YmE3MWZiYTU0YzM0ZTUwMzMwMmNiOGU5Y2RmOGI4Y2M1NzRiYzY4ODBkYWMiLCJrZXkiOiJpSjZpa0o0QjdLamJ2NGdUeXRiYzo3T25ybWRSajRyUkVNOXhrclpmQjRRIn0=
3.4 Kibanaの起動
Kibana 9 を起動し、システム起動時に実行できるようにする。
# systemctl enable --now kibana
# systemctl start kibana
ステータス確認
# systemctl status kibana
● kibana.service - Kibana
Loaded: loaded (/usr/lib/systemd/system/kibana.service; enabled; preset: disabled)
Active: active (running) since Thu 2026-06-04 12:18:10 JST; 2min 22s ago
Invocation: 5f448ec6d3724a6ba10344aad30646ad
Docs: https://www.elastic.co
Main PID: 41415 (MainThread)
Tasks: 11 (limit: 16805)
Memory: 785.6M (peak: 786.1M)
CPU: 17.823s
CGroup: /system.slice/kibana.service
mq41415 /usr/share/kibana/bin/../node/default/bin/node /usr/share/kibana/bin/../src/cli/kibana/dist
Jun 04 12:18:33 Lion kibana[41415]: Native global console methods have been overridden in production environment.
Jun 04 12:18:43 Lion kibana[41415]: [2026-06-04T12:18:43.667+09:00][INFO ][root] Kibana is starting
Jun 04 12:18:43 Lion kibana[41415]: [2026-06-04T12:18:43.743+09:00][INFO ][node] Kibana process configured with roles: [background_tasks, ui]
Jun 04 12:20:13 Lion kibana[41415]: [2026-06-04T12:20:13.228+09:00][INFO ][plugins-service] The following plugins are disabled: "alertingVTwo,cloudCha>
Jun 04 12:20:13 Lion kibana[41415]: [2026-06-04T12:20:13.307+09:00][INFO ][http.server.Preboot] http server running at http://192.168.11.85:5601
Jun 04 12:20:13 Lion kibana[41415]: [2026-06-04T12:20:13.496+09:00][INFO ][plugins-system.preboot] Setting up [1] plugins: [interactiveSetup]
Jun 04 12:20:13 Lion kibana[41415]: [2026-06-04T12:20:13.561+09:00][INFO ][preboot] "interactiveSetup" plugin is holding setup: Validating Elasticsear>
Jun 04 12:20:13 Lion kibana[41415]: [2026-06-04T12:20:13.594+09:00][INFO ][root] Holding setup until preboot stage is completed.
Jun 04 12:20:22 Lion kibana[41415]: i Kibana has not been configured.
Jun 04 12:20:22 Lion kibana[41415]: Go to http://192.168.11.85:5601/?code=792386 to get started.
出力の最後のほうに以下のように表示される
Go to http://192.168.11.85:5601/?code=792386 to get started.
提供されたKibanaのURL(codeを含む)をコピーしてブラウザで使用し、Kibanaにアクセスしてセットアップを完了する。
4. Kibana9 ダッシュボードにアクセスする
Firewallが起動している場合は、Kibanaポートを開く
# firewall-cmd --add-port=5601/tcp --permanent
# firewall-cmd --reload
http://192.168.11.85:5601/?code=792386にアクセスする
(各自の適切なアドレスをコピー)
Kibana 9にアクセスすると、ウェルカムページでElasticの設定を求められます。
最初に、生成した登録トークンを入力する。
/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana, コマンドを使用して生成された Kibana トークンをコピーし、ボックスに貼り付ける
トークンをペーストすると、Kibana が自動的に Elasticsearch に接続します。
Configure Elastic をクリックします。設定が保存され、Elasticsearch が設定、再起動されます。
ログインページに移動します。生成されたElasticユーザー認証情報を使用してログインします。
Username : elastic
Password : わかりやすく再生成したパスワード
ウェルカムページで、「Explore on my own」をクリックしてKibana 9.xダッシュボードに進む。
elasticスーパーユーザーアカウントを使う必要がないように、新しいユーザーアカウントを作成します。
メインメニューを開き、Stack Management >Security> Users
右上の"Create user"ボタンをクリック
新規ユーザー情報を入力し、Privilegesでkibana_admin、kibana_system、monitoring_user、editorのロールを割り当てる
最後に[Create user]をクリックする
現在のプロファイルからログアウトし、新しく作成したユーザーアカウントでログインできることを確認する。現在、SURICATAのホストでFilebeatとAuditbeatを設定していないため、Kibanaで表示できるデータがありません。
SURICATAサーバにFilebeatをインストール
本作業はSuricataをインストールした1台目のRockyLinux10.2サーバーで作業する
1. Filebeat インストール
1.1 Elasticsearch GPGキーをダウンロード
# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
1.2 /etc/yum/yum.repos.dディレクトリにelasticsearch.repoファイルを以下の内容で、作成
# vi /etc/yum.repos.d/elasticsearch.repo
以下内容を記述
[elasticsearch]
name=Elasticsearch repository for 9.x packages
baseurl=https://artifacts.elastic.co/packages/9.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=0
autorefresh=1
type=rpm-md
1.3 Filebeatをインストール
# dnf -y install --enablerepo=elasticsearch filebeat
Installed:
filebeat-9.4.2-1.x86_64
1.4 Elasticsearch CA証明書作成
Elasticsearch CA証明書をダウンロードし、任意のディレクトリに保存します(今回は/etc/filebeat/elastic-ca.crtとして保存します)
※第2サーバー(RockyLinux10.1 Elasticsearchを導入したサーバー)で9200ポートを開放しておく
# openssl s_client -connect 192.168.11.85:9200 \
-showcerts </dev/null 2>/dev/null | \
openssl x509 -outform PEM > /etc/filebeat/elastic-ca.crt
1.4 FilebeatをElasticsearchとKibanaに接続するように設定
# vi /etc/filebeat/filebeat.yml
137行目 : KibanaインスタンスのプライベートIPアドレスとポートを指す行を追加する
#host: "localhost:5601"
host: "192.168.11.85:5601"
164行目 : コメントアウト
#hosts: ["localhost:9200"]
165行目 : Elasticsearch のipアドレスとelasticsearchのポート番号を入力
hosts: ["https://192.168.11.85:9200"]
171行目 : コメント解除
protocol: "https"
172行目 : Elasticsearch CA証明書指定
ssl.certificate_authorities: ["/etc/filebeat/elastic-ca.crt"]
175,176行目コメント解除し、[username]はデフォルトのままにし、[password]は[elastic]ユーザーのパスワードを入力する
username: "elastic"
password: “xxxxxxxxx"
1.5 設定ファイルテスト
# filebeat test config
Config OK
1.6 Filebeatsの組み込みSuricataモジュールを有効にする
# filebeat modules enable suricata
上記コマンドにより /etc/filebeat/modules.d/suricata.yml.disabled が/etc/filebeat/modules.d/suricata.yml になりますが内容は変化しませんので以下のように編集します
# vi /etc/filebeat/modules.d/suricata.yml
6-7行目 : 下記のとおり変更
eve:
enabled: true
var.paths: ["/var/log/suricata/eve.json"]
1.7 初期環境をセットアップ
Suricataサービスにpipeline
SIEMダッシュボードをElasticsearchにロードします
# filebeat setup -e
-----------------------------------------------------------------------------------------------------------------------------------------
{"log.level":"info","@timestamp":"2026-06-04T13:26:42.678+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.4.2-suricata-eve-pipeline","ecs.version":"1.6.0"}
{"log.level":"info","@timestamp":"2026-06-04T13:26:42.735+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.4.2-suricata-eve-dns","ecs.version":"1.6.0"}
{"log.level":"info","@timestamp":"2026-06-04T13:26:42.773+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.4.2-suricata-eve-dns-answer-v1","ecs.version":"1.6.0"}
{"log.level":"info","@timestamp":"2026-06-04T13:26:42.814+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.4.2-suricata-eve-dns-answer-v2","ecs.version":"1.6.0"}
{"log.level":"info","@timestamp":"2026-06-04T13:26:42.862+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.4.2-suricata-eve-tls","ecs.version":"1.6.0"}
{"log.level":"info","@timestamp":"2026-06-04T13:26:42.909+0900","log.logger":"modules","log.origin":{"function":"github.com/elastic/beats/v7/filebeat/fileset.LoadPipeline","file.name":"fileset/pipelines.go","file.line":134},"message":"Elasticsearch pipeline loaded.","service.name":"filebeat","pipeline":"filebeat-9.4.2-suricata-eve-http","ecs.version":"1.6.0"}
-----------------------------------------------------------------------------------------------------------------------------------------
1.6 Filebeatサービスを開始
# systemctl start filebeat.service
2. Kibanaで確認
作成したユーザーでKibanaにログインし直します。http://192.168.11.85:5601にアクセスします。
一番上の検索フィールドに「Suricata Events Overview」と入力し、Events Overviewをクリック
過去 15 分間のすべての Suricata イベントが表示されます
悪質なトラフィックのアラートを表示するにはSuricataロゴの横にあるAlertsテキストをクリック
Kibana には、ログを視覚化するためのさまざまな機能とツールがありますのでいろいろと試してください。