Anzeigen der Erdmännchen-Aufzeichnungen in Grafana oder Kibana

Hector Herrero / Blog, Nagios / Elastisch, Elasticsearch, ELCH, Filebeat, Grafana, Grafik, IDS, IPS, Kibana, LOG, Logstash, Panels, Suche, Suricata /

2 von Februar von 2021

Nach dem Sehen wie wir Suricata installieren und haben es funktionsfähig gelassen, Jetzt ist es an der Zeit, Ihre Daten zu verarbeiten und freundlicher anzuzeigen, Dafür werden wir Grafana als Betrachter verwenden, obwohl mit Kibana können Sie es auf die gleiche Weise tun (oder einfacher). All dies dank der Tatsache, dass wir Suricata-LOGs in Elasticsearch speichern werden.

Der Prozess ist wirklich einfach, Auf dem Computer, auf dem Suricata ausgeführt wird, installieren wir Filebeat, um die Protokolldatei zu sammeln und direkt an Elasticsearch zu senden, Danach aktivieren wir das Erdmännchen-Modul und konfigurieren es. Sobald wir es fertig haben, sollte unsere Elasticsearch anfangen, diese Datensätze zu speichern, und mit Grafana, um sie auszunutzen, o con kibana, gehen.

Wir öffnen unser Kibana, Im linken Menü gehen wir zum Symbol “SIEM” > “Fügen Sie Daten mit Beats hinzu” > “Suricata-Protokolle” und wird uns alle Details geben, was wir brauchen. Ist das URL: http://IP_ELASTIC_SEARCH:5601/app / kibana # / home / tutorial / suricataLogs

Wir positionieren uns auf der Registerkarte “DEB” (in meinem Fall, da läuft Suricata unter Debian Buster) und wie wir sehen, kommt es perfekt erklärt.

Filebeats-Installation:

locken -L -O https://artefakts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb
dpkg -i filebeat-7.7.0-amd64.deb

Wir bearbeiten die Filebeat-Konfigurationsdatei (/etc / filebeat / filebeat.yml), Wir geben den Namen des Index an, der in Elasticsearch verwendet werden soll, sowie wenn wir Kibana haben und die Dashboards standardmäßig importieren möchten:

#================ Elasticsearch-Vorlageneinstellung ====================
...
setup.template.name: "suricata"
setup.template.pattern: "suricata- *"
setup.dashboards.index: "suricata- *"
setup.ilm.enabled: falsch
...
setup.kibana:
  Gastgeber: "FQDN_O_DIRECCION_IP_KIBANA:5601"
...
#---------------------- Elasticsearch-Ausgabe ------------------------
output.elasticsearch:
  # Array von Hosts, zu denen eine Verbindung hergestellt werden soll.
  Gastgeber: ["FQDN_O_DIRECCION_IP_ELASTICSEARCH:9200"]
  Index: "suricata-%{+yyyy.MM.dd}"
...

Wir aktivieren das Suricata-Modul, In Kibana de Suricata haben wir einige Predeternubadis-Dashboards erstellt, Wir starten den Filebeat-Daemon und lassen ihn automatisch mit dem System starten.

Filebeat-Module aktivieren Suricata
Filebeat-Setup
systemctl start filebeat
systemctl enable filebeat.service
systemctl status filebeat

Und ohne etwas anderes zu tun, können wir zu den Kibana-Dashboards oder ihren Visualisierungen gehen und die Daten anzeigen, die sie sammeln.

Wenn wir es in Grafana visualisieren wollen, Wie immer müssen wir eine Datenquelle erstellen, die auf den Suricata-Index unserer Elasticsearch verweist, und wir können die Grafiken nach Interesse erstellen, mit einfachen Fragen wie bei der Entdeckung unserer Kibana, Phantasie an die Macht!

und nichts, zu dem 5 In wenigen Minuten können Sie Dashboards so einfach gestalten und schnell visualisieren, was passiert, Welche Teams greifen auf welche zu?, siehe die Verbindungen, etc…

empfohlene Beiträge:

Über
Letzte Artikel

Hector Herrero

Blog-Autor Bujarra.com
Alle müssen Sie haben, zögern Sie nicht, mich zu kontaktieren, Ich versuche zu helfen, wann immer Sie können, Teilen ist Leben 😉 . genießen Sie Dokumente!!!

Letzte Artikel von Hector Herrero (Alle anzeigen)

SCAP-Compliance-Checker - 12 September 2023
Centreon-Benachrichtigungen mit OpenAI - 18 von Juli von 2023
Geheimnisse mit Password Pusher teilen - 20 von Juni von 2023