Dashboards mit Crowdsec: Metabase oder Prometheus con Grafana

In diesem Beitrag werden wir zwei Optionen sehen, um unsere Crowdsec-Infrastruktur weiterzuverfolgen, Wir haben zwei Optionen, eine einfache, ein Docker-Container mit allem bereit. die, Warum nicht, genieße das Leben und integriere es in Prometheus und visualisiere es mit Grafana!

Wenn wir den Status unserer Maschinen mit Crowdsec wissen wollen, Das Beste ist, dies über die GUI zu tun, und einige Dashboards, die bereits von der Community erstellt wurden, helfen uns, ich sagte:, wir haben zwei Möglichkeiten,, a Verwenden Sie einen Docker-Container mit Metabase, der bereits vorkonfiguriert ist, um eine Verbindung mit der lokalen LAPI herzustellen, etwas Einfaches und Grundlegendes, das verwendet werden kann. Oder wir senden Prometheus die Metriken unserer Agenten und visualisieren sie dann in Grafana, schmecken.

Metabasis,

Wir brauchen Docker, wenn wir es nicht vorher installiert haben:

sudo apt install docker.io -y

und läuft ‚Sudo cscli-Dashboard-Setup –hören 0.0.0.0‘ wir werden es entfalten:

sudo cscli Dashboard-Setup --listen 0.0.0.0
    ? Metabase benötigt 1-2 GB RAM, Ihr System unterschreitet diese Anforderung weiterhin ? Ja
    ? Damit Metabase Docker auf die SQLite-Datei zugreifen kann, müssen wir dem System eine neue Gruppe namens „Crowdsec“ hinzufügen, ist es ok für dich ? (J/n) UND
    DIE INFO[12-11-2022 05:09:02 PN] Docker-Image-Metabasis/Metabasis abrufen:v0.41.5
    .............................................................................................................................................
    INFO[12-11-2022 05:09:32 PN] Container „Crowdsec-Metabase“ erstellen
    DIE INFO[12-11-2022 05:09:38 PN] warten, bis die Metabasis hochgefahren ist (kann bis zu einer Minute dauern)
    ..............................
    INFO[12-11-2022 05:11:50 PN] Die Metabasis ist bereit
        URL       : 'http://0.0.0.0:3000'
        Nutzername  : 'crowdsec@crdiewdsec.net'
        Passwort  : 'xxxxxxxxxxxxxxx'

Wenn der Metabase-Container gestartet wird, Jetzt können wir einen Browser für http öffnen://ip_adresse:3000

Das wäre Zuhause, wo wir direkt die Verbindung zu Crowdsec sehen, und 3 Tafeln, mit der Liste der aktiven Entscheidungen, eine Historie von Warnungen oder ein allgemeines Dashboard.

Dashboard des CS – Aktive Entscheidungsliste,

Dashboard des CS – Warnungsverlauf,

Dashboard des CS – Haupt-Dashboard.

Dann können wir das Dashboard stoppen, abreißen oder entfernen:

sudo cscli Dashboard stoppen
sudo cscli-Dashboard starten
sudo cscli Dashboard entfernen --force

Prometheus + Grafana,

Auf jedem Crowdsec-Agenten, in Ihrer Konfigurationsdatei ‚/etc/crowdsec/config.yaml‘, wir müssen Prometheus aktivieren, Wir geben einen Listening-Port an, über den wir die Metriken anbieten, sein etwas:

Prometheus:
  aktiviert: WAHR
  eben: voll
  listen_addr: 0.0.0.0
  listen_port: 6060

Und wir laden Crowdsec neu, damit es die vorherigen Änderungen anwendet:

sudo systemctl startet Crowdsec neu

Um zu testen, ob das funktioniert, Wir können eine Locke zu besagtem Hafen werfen, von der Maschine selbst oder einer entfernten, Von der Shell aus führen wir aus ‚locken http://ip_adresse:6060/Metriken‘ zu validieren:

locken http://192.168.x.xxx:6060/Metriken
    # HELP cs_active_decisions Anzahl aktiver Entscheidungen.
    # TYPE cs_active_decisions Messgerät
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="Crowdsecurity/CVE-2022-xxxxx"} 16
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="Crowdsecurity/CVE-2022-xxxxx"} 2
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="Crowdsecurity/CVE-2022-xxxxx"} 2
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="Crowdsecurity/CVE-2022-xxxxx"} 669
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="crowdsecurity/apache_log4j2_cve-xxxxx"} 11
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="crowdsecurity/fortinet-cve-xxxxx"} 237
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="Crowdsecurity/grafana-cve-xxxxx"} 27
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="Crowdsecurity/http-Backdoors-Versuche"} 101
    cs_active_decisions{Aktion="Verbot",Herkunft="CAPI",Grund="crowdsecurity/http-bad-user-agent"} 3632
...

Jetzt können wir in unserem Prometheus-Server die Metriken jedes Crowdsec-Agenten hinzufügen, In Ihrer Konfigurationsdatei geben wir es an ‚/usr/local/bin/prometheus/prometheus.yml‘

...
scrape_configs:
...
  - Berufsbezeichnung: 'crowdsec_OS-GRA-04'
    static_configs:
    - Ziele: ['192.168.x.xxx:6060']
      Etiketten:
        Maschine: 'OS-SPIEL-04'

  - Berufsbezeichnung: 'crowdsec_OS-JITSI-05'
    static_configs:
    - Ziele: ['192.168.x.xxx:6060']
      Etiketten:
        Maschine: 'OS-JITSI-05'
...

Und wir würden Prometheus neu starten, damit es schon die Daten aus unserem Crowdsec auslesen kann!

sudo-Dienst Prometheus neu starten

Wenn wir den Stecker gegen den Prometheus von Grafana nicht haben, wir tun, Wir erstellen die Datenquelle.

können wir von herunterladen https://github.com/crowdsecurity/grafana-dashboards vorkonfigurierte Dashboards, Wir laden also einfach die JSON-Datei herunter und importieren sie in Grafana. Dies wäre das Dashboard mit den Details pro Agent-Maschine oder ‚Crowdsec-Details pro Maschine‘.

Dashboard von Crowdsec Insight, ein kurzer Blick.

Und das letzte ‚Crowdsec-Übersicht‘ im Zusammenfassungsmodus,

gut, Nun, ich hoffe, Sie fanden den einfachen Weg, den Status unserer Maschinen mit Crowdsec zu erfahren, interessant oder zumindest neugierig..

Eine Umarmung!

Hector Herrero
Letzte Artikel von Hector Herrero (Alle anzeigen)