Visualizzazione dei record di suricati in grafana o kibana

Compatibile con la stampa, PDF & Email

Dopo aver visto Come installiamo Meerkat e l'hanno lasciata funzionante, Ora è il momento di trattare i tuoi dati e visualizzarli in modo più amichevole, per questo ci affideremo a Grafana come visualizzatore, anche se con Kibana puoi farlo allo stesso modo (o più semplice). Tutto questo grazie al fatto che memorizzeremo i LOG di Meerkat in Elasticsearch.

Il processo è davvero semplice, sulla macchina che esegue Suricata installeremo Filebeat per raccogliere il file di log e inviarlo direttamente a Elasticsearch, Successivamente, abiliteremo il modulo suricato e lo configureremo. Una volta che lo abbiamo pronto, se il nostro Elasticsearch dovesse iniziare a memorizzare questi log, e con Grafana per poterli sfruttare, o con Kibana, andare.

Apriamo la nostra Kibana, Nel menu di sinistra andiamo al “SEMPRE” > “Aggiungere dati con Beats” > “Tronchi di Meerkata” e ci darà tutti i dettagli di ciò di cui abbiamo bisogno. Questo URL è: Protocollo HTTP://IP_ELASTIC_SEARCH:5601/app/kibana#/home/tutorial/smericaLogs

Ci posizioniamo sul “DEB” (Nel mio caso, poiché Meerkata viene eseguito sotto Debian Buster) e come possiamo vedere è perfettamente spiegato.

Installazione di Filebeats:

ricciolo -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb dpkg -i filebeat-7.7.0-amd64.deb

Modificare il file di configurazione di Filebeat (/ecc/filebeat/filebeat.yml), indicheremo il nome dell'indice da utilizzare in Elasticsearch, così come se abbiamo Kibana e vogliamo importare le dashboard predefinite:

#================ ==================== di impostazione del modello Elasticsearch
...
setup.template.name: "Meerkat"
setup.template.pattern: "Meerkat-*"
setup.dashboards.index: "Meerkat-*"
setup.ilm.enabled: Falso
...
setup.kibana:
  ospite: "FQDN_O_DIRECCION_IP_KIBANA:5601"
...
#---------------------- Output di Elasticsearch ------------------------
uscita.elasticsearch:
  # Array di host a cui connettersi.
  Ospita: ["FQDN_O_DIRECCION_IP_ELASTICSEARCH:9200"]
  indice: "suricato-%{+aaaa. MM.dd}"
...

Abilitiamo il modulo Meerkat, abbiamo creato alcuni cruscotti predeternubadis in Kibana de Meerkata, avviamo il demone Filebeat e lo facciamo avviare automaticamente con il sistema. 

I moduli FileBeat abilitano il sistema di configurazione di Meerkat FileBeatCtl avvia FileBeat SystemCtl abilita FileBeat.Service SystemCtl Stato FileBeat

E senza fare nient'altro possiamo andare alle Dashboard di Kibana o alle sue visualizzazioni e vedere i dati che raccoglie da noi.

Se vogliamo visualizzarlo in Grafana, come sempre, dobbiamo creare una Data Source che punti all'indice Meerkat del nostro Elasticsearch e saremo in grado di realizzare i grafici come meglio crediamo, con semplici domande come faremmo noi dalla scoperta della nostra Kibana, Dall'immaginazione al potere!

E niente, al 5 In pochi minuti sarai in grado di creare Dashboard così semplici e che ti permettono di visualizzare rapidamente ciò che sta accadendo, quali computer accedono a quali, Visualizza connessioni, and so on…

Post consigliati

Regole e avvisi con ElastAlert 2
Leggere
Metriche FortiGate con Prometheus e Grafana
Leggere
Metriche ping con Prometheus e Grafana
Leggere
Metriche di Windows con Prometheus e Grafana
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Un podcast per l'IT - Bitcoin e Blockchain

28 di gennaio 2021

Un podcast per l'IT - Un controllo dello stato di salute per TE

8 Febbraio de 2021