視聴した後 Meerkatのインストール方法 そしてそれを機能させたままにしました, 次に、データを扱い、より親しみやすい方法で視覚化します, このために、ビジュアライザーとしてGrafanaに依存します, Kibanaでも同じようにできます (またはよりシンプル). これはすべて、Meerkat LOGをElasticsearchに保存するという事実のおかげです.

プロセスは本当に簡単です, Suricataを実行しているマシンにFilebeatをインストールしてログファイルを収集し、Elasticsearchに直接送信します, その後、meerkatモジュールを有効にして構成します. 準備ができたら, Elasticsearchがこれらのログの保存を開始した場合, そして、それらを悪用できるようにするためのGrafanaを使用, またはKibanaを使用, 行く.

Kibanaを開きます, 左側のメニューで、 “いつも” > “Beatsでデータを追加する” > “ミーアカタログ” そして、それは私たちが必要とするもののすべての詳細を私たちに与えるでしょう. このURLは: HTTPの://IP_ELASTIC_SEARCH:5601/app/kibana#/home/tutorial/smericaLogs

私たちは自分自身を位置付けます “デブ” (私の場合は, Meerkata は Debian Buster の下で動作しているからです) そして、ご覧の通り、それは完璧に説明されています.

Filebeatsのインストール:

カール -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb dpkg -i filebeat-7.7.0-amd64.deb

Filebeat設定ファイルの編集 (/etc/filebeat/filebeat.yml), Elasticsearchで使用するインデックスの名前を示します, また、Kibanaがあり、デフォルトのダッシュボードをインポートしたい場合も同様です:

#================ Elasticsearchテンプレート設定====================
...
setup.template.name: "ミーアキャット"
setup.template.patternの: "ミーアキャット-*"
setup.dashboards.index: "ミーアキャット-*"
setup.ilm.enabled (英語): 偽
...
setup.kibana さん:
  ホスト: "FQDN_O_DIRECCION_IP_KIBANA:5601"
...
#---------------------- Elasticsearchの出力 ------------------------
output.elasticsearchと入力します。:
  # 接続するホストの配列.
  ホスト: ["FQDN_O_DIRECCION_IP_ELASTICSEARCH:9200"]
  インデックス: "ミーアキャット-%{+yyyy です。MM.ddの}"
...

Meerkatモジュールを有効にします, Kibana de Meerkataにいくつかのpredeternubadisダッシュボードを作成しました, Filebeatデーモンを起動し、システムで自動的に起動させます.

Filebeat modules enable meerkat filebeat setup systemctl start filebeat systemctl enable filebeat.service systemctl status filebeat

また、何もしなくても、Kibanaのダッシュボードやそのビジュアライゼーションにアクセスして、Kibanaが収集したデータを確認できます.

Grafanaで視覚化したい場合, いつものように、ElasticsearchのMeerkatインデックスを指すデータソースを作成する必要があり、適切と思われるグラフを作成できるようになります, 私たちのKibanaの発見から行うような簡単なクエリで, 想像力を力に!

そして何もない, に 5 数分で、非常にシンプルで、何が起こっているのかをすばやく視覚化できるダッシュボードを作成できるようになります, どのコンピュータがどのコンピュータにアクセスするか, 接続の表示, 等…