前言：SIEM為什麼那麼重要？

大家有想過，一間公司的電腦和網路裡每天會產生多少「日誌（Log）」嗎？這些日誌就像監控攝影機錄下的一幕幕，記錄著每一個操作、連線和異常狀況。SIEM（安全資訊與事件管理系統）就是把這些零散的日誌收集、整理，並且用聰明的方式幫安全人員分析，幫助我們快速發現有問題的地方，像是入侵攻擊、內部濫用權限等等。

SIEM不只是簡單收日誌，它會幫你分類、找關聯、甚至可以設定自動告警，讓問題不漏掉。要做這件事，最常見的開源工具就是Elastic Stack，它價格低，彈性又高，非常適合想自建SIEM系統的朋友。

SIEM的運作核心很簡單

1. 收集日誌：從伺服器、網路設備、應用程式等地方串接日誌來源。
2. 統一格式（標準化）：把各種不同形態的日誌都轉成同一種格式，方便後面分析。
3. 分析事件：用規則或機器學習自動找出異常或可疑行為。
4. 告警與回報：發現問題立即通知安全團隊，並產生清楚的報表。

這樣大致輪廓，後面會介紹Elastic Stack怎麼幫我們做到這些事。

Elastic Stack 是什麼？

Elastic Stack包含幾個重要工具：

• Elasticsearch：就是資料庫+搜尋引擎，專門用來存大量日誌，還有超快搜尋能力。
• Logstash：日誌處理者，可以收日誌、做格式轉換、過濾清理，之後送到Elasticsearch。
• Filebeat：輕量小工具，裝在伺服器上幫忙收集日誌送到Logstash或Elasticsearch。
• Kibana：漂亮的網頁介面，可以讓你看到抓來的資料，做各種圖表和警報設定。

怎麼架設？用最簡單的步驟帶你起步

第一步：準備環境

• 推薦使用Linux伺服器（Ubuntu或CentOS），因為穩定又支援好。
• 確保你的伺服器有固定IP，也要開放一些重要通訊埠（像9200用來搜尋，5044用來接收Filebeat的資料）。
• 安裝Java環境，Elastic Stack得靠它運行。

第二步：安裝Elasticsearch

1. 新增Elastic官方軟體庫，安裝Elasticsearch。
2. 編輯配置檔elasticsearch.yml，設定集群名稱、網路IP（建議0.0.0.0代表所有網卡都能用），還有安全選項。
3. 啟動服務，看狀態確認沒問題。

第三步：安裝Logstash

1. 安裝完Logstash後，先寫個簡單的配置檔，例如設定Input從Filebeat來，Filter用grok解析日誌格式，Output發送到Elasticsearch。
2. 啟動Logstash，並測試它能否成功收日誌並送到ES。

第四步：裝Filebeat

1. 在你要監控的伺服器上安裝Filebeat。
2. 配置Filebeat收是哪個日誌（像/var/log/syslog或/var/log/apache2/access.log）。
3. 設定Filebeat把資料送往Logstash或Elasticsearch。
4. 啟動Filebeat，它就開始把日誌推送出來。

第五步：架設Kibana

• 安裝並啟動Kibana，設定連結到你的Elasticsearch。
• 打開瀏覽器，進入Kibana介面，建立index pattern，開始探查你的日誌資料。
• 自訂儀表板，把有趣的數據用視覺化圖表展現，還能設定警報提醒。

實務小技巧與要注意的地方

• SIEM系統的效益很依賴「日誌品質」和「日誌來源範圍」，不要只有核心伺服器，網路設備與重要應用都要納入。
• Logstash的filter非常關鍵，花時間學好grok語法，可以大幅提升日誌分析品質。
• Elastic Stack資源耗用不少，尤其是Elasticsearch，建議有足夠硬體（CPU多核、記憶體大，SSD硬碟）才能跑順。
• SIEM的告警規則一開始不要設太多，慢慢調整，避免收到一堆假警報。
• 日誌資料儲存有期限，通常設定留存3個月到半年之間，過久會佔用大量資源。

總結

(時做過一次但要及時截圖實屬有點困難~~~~所以假日或日後時再補上影片流程)
Elastic Stack作為開源SIEM的基礎架構非常適合想自己動手打造安全日誌分析。只要跟著步驟，一步步完成架設，再逐漸優化你的日誌收集管道和分析規則，就能打造一個專屬於你團隊的SIEM系統。

後續還會分享更多Elastic Stack在安全監控的實用技巧，敬請期待！

—

(https://blog.csdn.net/jjj_web/article/details/148208567)
(https://ithelp.ithome.com.tw/m/articles/10287925)
(https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6906)
(https://www.splashtop.com/tw/blog/what-is-siem-security-information-and-event-management)
(https://ithelp.ithome.com.tw/articles/10196064)
(https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7371)
(https://www.purestorage.com/tw/knowledge/what-is-siem.html)
(https://learn.microsoft.com/zh-tw/azure/sentinel/deploy-overview)
(https://support.kaspersky.com/KWTS/6.1/zh-HantTW/267199.htm)
(https://www.fortinet.com/tw/resources/cyberglossary/what-is-siem)