Affichage des enregistrements de Meerkat dans Grafana ou Kibana

Imprimable, PDF & Email

Après avoir regardé Comment nous installons Meerkat et l’ont laissé fonctionnel, Il est maintenant temps de traiter vos données et de les visualiser de manière plus conviviale, pour cela, nous nous appuierons sur Grafana comme visualiseur, bien qu’avec Kibana, vous puissiez le faire de la même manière (ou plus simple). Tout cela grâce au fait que nous allons stocker les LOG de Meerkat dans Elasticsearch.

Le processus est vraiment simple, sur la machine exécutant Suricata, nous installerons Filebeat pour collecter le fichier journal et l’envoyer directement à Elasticsearch, Après cela, nous allons activer le module suricate et le configurer. Une fois que nous l’aurons prêt, si notre Elasticsearch commence à stocker ces journaux, et avec Grafana pour pouvoir les exploiter, ou avec Kibana, aller.

Nous ouvrons notre Kibana, Dans le menu de gauche, nous allons dans le “TOUJOURS” > “Ajouter des données avec Beats” > “Bûches de suricate” Et il nous donnera tous les détails de ce dont nous avons besoin. Cette URL est: HTTP://IP_ELASTIC_SEARCH:5601/app/kibana#/home/tutorial/smericaLogs

Nous nous positionnons sur le “DEB” (Dans mon cas, puisque Meerkata fonctionne sous Debian Buster) Et comme nous pouvons le voir, c’est parfaitement expliqué.

Installation de Filebeats:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb dpkg -i filebeat-7.7.0-amd64.deb

Modifier le fichier de configuration Filebeat (/etc/filebeat/filebeat.yml), nous indiquerons le nom de l’index à utiliser dans Elasticsearch, ainsi que si nous avons Kibana et que nous voulons importer les tableaux de bord par défaut:

#================ paramètre de modèle Elasticsearch ====================
...
setup.template.name: "suricate"
setup.template.pattern: "suricate-*"
setup.dashboards.index: "suricate-*"
setup.ilm.enabled: Faux
...
setup.kibana:
  hôte: "FQDN_O_DIRECCION_IP_KIBANA:5601"
...
#---------------------- Sortie Elasticsearch ------------------------
output.elasticsearch:
  # Tableau d’hôtes auxquels se connecter.
  Hôtes: ["FQDN_O_DIRECCION_IP_ELASTICSEARCH:9200"]
  index: "Suricates-%{+aaaa. MM.jj}"
...

Nous activons le module Meerkat, nous avons créé des tableaux de bord predeternubadis dans Kibana de Meerkata, nous démarrons le démon Filebeat et le faisons démarrer automatiquement avec le système. 

Modules FileBeat Activer Meerkat FileBeat Setup Systemctl Démarrer FileBeat SystemCTL Activer FileBeat.Service SystemCTL Status FileBeat

Et sans rien faire d’autre, nous pouvons accéder aux tableaux de bord de Kibana ou à ses visualisations et voir les données qu’il collecte auprès de nous.

Si nous voulons le visualiser dans Grafana, comme toujours, nous devons créer une source de données pointant vers l’index Meerkat de notre Elasticsearch et nous pourrons faire les graphiques comme bon nous semble, avec des requêtes simples comme nous le ferions à partir du Discover de notre Kibana, De l’imagination à la puissance!

Et rien, à l 5 En quelques minutes, vous serez en mesure de créer des tableaux de bord si simples et qui vous permettent de visualiser rapidement ce qui se passe, quels ordinateurs accèdent à quel, Voir les connexions, etc…

Articles recommandés

Règles et alertes avec ElastAlert 2
Lire
Métriques FortiGate avec Prometheus et Grafana
Lire
Métriques ping avec Prometheus et Grafana
Lire
Métriques Windows avec Prometheus et Grafana
Lire

Auteur

par Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, N’hésitez pas à me contacter, J’essaierai de vous aider chaque fois que je le pourrai, Partager, c’est vivre ;) . Profiter des documents!!!

Un podcast pour l’informatique - Bitcoin et Blockchain

28 de janvier 2021

Un podcast pour l’informatique - Un bilan de santé pour VOUS

8 février de 2021