[11월 26일] ELK Stack구축하기

구축환경 : ubuntu 24.04.5

 

 

🛠️ 간편한 ELK Stack 구축 단계 (Ubuntu 24.04 LTS 기준)

ELK Stack은 Java 기반이므로, 설치 전 Java(JDK)가 필수적으로 필요하며, 이후 Elasticsearch, Logstash, Kibana 순서로 설치 및 설정합니다.

1. ☕ Java (JDK) 설치

Elasticsearch와 Logstash는 Java 기반으로 실행됩니다. 최신 ELK 버전에 맞춰 OpenJDK 17을 설치하는 것이 좋습니다.

# 1. 패키지 목록 업데이트
sudo apt update

# 2. OpenJDK 17 설치
sudo apt install openjdk-17-jdk -y

# 3. Java 버전 확인 (선택 사항)
java -version

---

2. 🔑 Elastic Repository 키 및 저장소 등록

Elastic Stack 패키지를 다운로드할 수 있도록 Elastic사의 공식 저장소를 시스템에 등록합니다.

# 1. GPG 키 다운로드 및 추가
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg

# 2. apt 저장소 등록 (24.04 기준)
echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list

# 3. 패키지 목록 업데이트
sudo apt update

---

3. 🔎 Elasticsearch 설치 및 설정

ELK Stack의 데이터 저장소 역할을 하는 핵심 구성 요소입니다.

# 1. Elasticsearch 설치
sudo apt install elasticsearch -y

# 2. 서비스 시작 및 부팅 시 자동 시작 설정
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

# 3. 서비스 상태 확인 (선택 사항)
sudo systemctl status elasticsearch

# 4. 포트 9200으로 접속하여 정상 작동 확인
curl -k -u elastic:jcMilQp_3fR2EkA5ro9y https://localhost:9200

 

elasticsearch 설치가 완료되는 순간 user의 비밀번호가 표시된다. (jcMilQp_3fR2EkA5ro9y)

💡 SE 포트폴리오 팁: sudo nano /etc/elasticsearch/jvm.options 파일을 수정하여 이전에 설정한 8GB 메모리 중 4GB를 JVM 힙 메모리(-Xms4g, -Xmx4g)로 할당하는 작업을 반드시 문서화해야 합니다.

 

 

 

New value: jcMilQp_3fR2EkA5ro9y

 

---

4.  Logstash 설치 및 설정

Suricata 로그를 수신하고 Elasticsearch로 보내는 데이터 파이프라인 역할을 합니다.

# 1. Logstash 설치
sudo apt install logstash -y

# 2. Logstash 설정 파일 작성 (Suricata 로그를 수신할 포트 설정)
# 예시: /etc/logstash/conf.d/suricata.conf 파일 생성 (나중에 상세 설정 필요)
# sudo nano /etc/logstash/conf.d/suricata.conf

# 3. 서비스 시작 및 부팅 시 자동 시작 설정
sudo systemctl enable logstash
sudo systemctl start logstash

 

우선 설치하고 나중에 suricata랑 연결하는 작업이 필요하다. (suricata.conf)

---

5. 📊 Kibana 설치 및 설정

웹 인터페이스를 통해 데이터를 시각화하고 대시보드를 구축하는 역할을 합니다.

# 1. Kibana 설치
sudo apt install kibana -y

# 2. Kibana 설정 파일 수정 (서버 IP 설정)
# sudo nano /etc/kibana/kibana.yml
# server.host: "0.0.0.0" 또는 VM의 IP 주소로 변경하여 외부 접속 허용

# 3. 서비스 시작 및 부팅 시 자동 시작 설정
sudo systemctl enable kibana
sudo systemctl start kibana

 

방화벽 설정 (Firewall):

• Ubuntu VM의 기본 방화벽인 ufw에서 Kibana의 포트인 5601번 TCP 포트를 열어줘야 합니다.

sudo ufw allow 5601/tcp
sudo ufw enable

 

 

 

🔑 Kibana 등록 토큰 생성 방법

토큰은 Elasticsearch가 설치된 ELK VM에서 root 권한으로 생성해야 합니다.

1. 토큰 생성 명령어

리눅스(Ubuntu) 환경에서는 bin 디렉토리가 아닌 /usr/share/elasticsearch/bin/ 경로의 셸 스크립트를 사용합니다.

sudo /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token --scope kibana

2. 실행 및 결과

명령어를 실행하면 Elasticsearch가 클러스터에 Kibana를 안전하게 등록하는 데 사용할 수 있는 일회성 토큰을 생성하여 터미널에 출력합니다.

# 명령어 실행 결과 예시
Your enrollment token for Kibana is:
eyJ2Z...[매우 긴 문자열]...QkRjb

• 출력된 긴 문자열이 바로 필요한 토큰 값입니다.

---

3. Kibana에 토큰 입력 및 연결

토큰 값을 복사한 후, Kibana 웹 인터페이스로 돌아가서 다음 단계를 수행합니다.

1. Kibana 접속: 웹 브라우저에서 http://[ELK VM IP 주소]:5601로 접속합니다.
2. 토큰 입력 화면: Kibana 초기 화면(또는 연결 설정 화면)에 "Enrollment Token"을 입력하는 필드가 나타납니다.
3. 연결: 복사한 토큰을 붙여넣고 Configure 버튼을 클릭합니다.

http://[ELK VM IP 주소]:5601

 

입력하면 Verification Code를 입력하는 창이 뜬다. 

 

kivina.yml 파일의 server.host값이 0.0.0.0으로 되어있고 localhost 외부에서 접속할 경우, 서버는 다음과 같이 verification 을 요구한다.

 

 

Kibana가 Elasticsearch에 성공적으로 등록(Enrollment)된 후에, Kibana가 Elasticsearch로부터 사용자 인증 정보를 받아 로그인 연결을 최종적으로 완료하기 위해 필요한 확인 코드(Verification Code) 단계입니다.

이 6자리 코드는 Kibana가 스스로 생성하는 것이 아니라, Elasticsearch 서버에서 직접 실행되는 명령어의 결과로 얻어야 합니다.

이 코드는 앞선 설치과정의 출력값을 살펴보면 알 수 있다.

---

🔑 6자리 확인 코드(Verification Code) 얻는 방법

출력값에서 찾을수없는경우, 이 코드를 얻기 위해서는 Elasticsearch가 설치된 ELK VM으로 돌아가서 특정 명령어를 실행해야 합니다.

 

root@cmd-VirtualBox:/etc/kibana: sudo /usr/share/kibana/bin/kibana-verification-code
Your verification code is:  082 318

3. Kibana에 입력

1. 출력된 6자리 코드를 복사합니다.
2. Kibana 웹 화면으로 돌아가서 Verification code 입력 필드에 이 코드를 붙여넣고 확인(Verify)을 진행합니다.

이 과정을 거치면 Kibana가 Elasticsearch와 완전히 연결되어 로그인 화면으로 이동하게 됩니다.

 

 

Enrollment Token → Verification Code 단계를 넘어서
Elasticsearch 로그인 단계

 

#elastic 계정 비밀번호 직접 생성(Reset)
sudo /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic

Password for the [elastic] user successfully reset.
New value: bqXRJTq57-=g76cQO6G1

 

 

Explore on my own 을 클릭 (Add integrations 와 같은 연결은 나중에 작업)

 

ELK 메인 화면

 

---

 

 

사실 mod_security는 ELK로 전송되므로, 병렬연결방식에 더 가깝다. (pfsense도 추가해야함)

 

 

공격 대상 서버 (취약 서버)	192.168.16.33	Apache + ModSecurity	공격을 실제로 탐지하는 WAF 역할
네트워크 침입 탐지 서버	192.168.16.30	Suricata IDS	네트워크 기반 공격 탐지
통합 보안 로그 수집 서버	192.168.16.27	Elasticsearch + Kibana	중앙 로그 분석/대시보드
공격자	192.168.16.58	Kali, 공격 스크립트	공격 수행

 

➡ 목표:
ModSecurity + Suricata의 탐지 로그를 ELK로 모두 보내서 통합 모니터링

 

---

 

지금부터 해야할 작업

✅ 1단계: ModSecurity 설치 및 로그 설정 (192.168.16.33)

ModSecurity는 Apache/Nginx 앞단에서
웹 기반 공격(SQL Injection, XSS 등)을 탐지하는 WAF이기 때문에,

✔ 해야 할 작업

1. ModSecurity 설치
2. OWASP CRS 룰셋 적용
3. Logging을 JSON 형식으로 설정
4. 로그를 ELK(192.168.16.27)로 전달 (Filebeat 설치)

🔥 중요: ModSecurity는 로그를 파일로 남김 → Filebeat가 그 로그를 전송해야 함

ModSec 로그 위치는 보통:

 

/var/log/modsec_audit.log /var/log/apache2/modsec_audit.log

---

✅ 2단계: Suricata 설정 + 로그 전송 (192.168.16.27)

Suricata는 네트워크 IDS이므로
패킷 기반 공격, 스캔, 포트스윕, 익스플로잇을 탐지 가능.

Suricata 로그 위치:

 

/var/log/suricata/eve.json

이미 JSON이므로 Filebeat/Elastic Agent가 보내기 최고로 쉬움.

해야 할 작업

1. Suricata 동작 확인
2. eve.json JSON output 확인
3. Filebeat 또는 Elastic Agent 설치
4. ELK로 로그 전송

---

🚀 그래서 중요한 결론:

📌 두 서버(33, 30)에 Filebeat를 설치해서 ELK로 로그를 보내야 한다!!

ELK 서버는 로그 수집기가 아님
→ 로그 수집은 보통 Beats(Agent)가 담당함.

---

✅ 3단계: 192.168.16.33 및 192.168.16.30 에 Filebeat 설치

모두 동일한 방식.

Filebeat 설치 명령 예시 (Ubuntu)

 

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.14.0-amd64.deb sudo dpkg -i filebeat-8.14.0-amd64.deb

Kibana에서 Index Template 자동 생성되도록 설정

ELK(192.168.16.38)의 Kibana에서:

Integrations → Filebeat → System / Apache / Suricata 선택

여기서 config snippet이 제공됨.

---

✅ 4단계: 각 환경에 맞는 Filebeat 설정

🟦 192.168.16.27 (WAF 서버) → Apache + ModSec 로그 전송

Filebeat modules:

 

sudo filebeat modules enable apache sudo filebeat modules enable modsecurity

또는 직접 path 지정:

 

/var/log/apache2/modsec_audit.log

---

🟩 192.168.16.30 (Suricata 서버) → Suricata 로그 전송

 

sudo filebeat modules enable suricata

설정 파일 수정:

 

/etc/filebeat/modules.d/suricata.yml

로그 경로:

 

var.paths: - /var/log/suricata/eve.json

---

✅ 5단계: Filebeat를 ELK와 연결

두 서버의 filebeat.yml 공통 설정:

 

output.elasticsearch: hosts: ["192.168.16.27:9200"] username: "elastic" password: "비밀번호"

---

✅ 6단계: Kibana에서 데이터 확인

1. Kibana → Discover
2. filebeat-* 인덱스 생성 여부 확인
3. Suricata + ModSecurity 이벤트 실시간 탐지 확인

---

🔥 7단계: Visualize & Dashboard 구축

Kibana에는 이미 Suricata + Apache module 대시보드 템플릿이 있음.

Dashboard 검색 → Suricata → Suricata Events Dashboard
Dashboard 검색 → Apache → Access Logs Dashboard

---

📌 8단계: 공격 수행 → 탐지되는지 확인

이제 공격자 VM에서:

• SQL Injection
• XSS
• Directory Traversal
• nmap 스캔
• Nikto 스캔

등 수행 →
ModSec + Suricata → 로그 발생 → Filebeat → ELK 전송 → Kibana에서 탐지됨.