Visualizando registros do Meerkat no Grafana ou Kibana

Impressão amigável, PDF & E-mail

Después de ver cómo instalamos Suricata y haberlo dejado funcional, Agora é hora de tratar seus dados e visualizá-los de forma mais amigável, para isso contaremos com a Grafana como visualizador, embora com o Kibana você possa fazê-lo da mesma maneira (ou mais simples). Tudo isso graças ao fato de que vamos armazenar os LOGs Meerkat no Elasticsearch.

El proceso es realmente sencillo, en la máquina que corre Suricata le instalaremos Filebeat para recolectar el fichero de log y enviarselo a Elasticsearch directamente, tras ello habilitaremos el módulo de suricata y lo configuramos. Una vez lo tengamos listo, debería nuestro Elasticsearch empezar a almacenar estos registros, y con Grafana poder explotarlos, o con Kibana, ir.

Abrimos nuestro Kibana, en el menú izquierdo vamos al icono de “SEMPRE” > “Add data with Beats” > “Suricata logsy nos dará todo el detalle de qué necesitamos. Es esta URL: Referências HTTP://IP_ELASTIC_SEARCH:5601/app/kibana#/home/tutorial/suricataLogs

Nos posicionamos sobre la pestañaDEB” (No meu caso, ya que Suricata corre bajo Debian Buster) y como vemos viene perfectamente explicadito.

Instalación de Filebeats:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb
dpkg -i filebeat-7.7.0-amd64.deb

Editamos o ficheiro de configuração do Filebeat (/etc/filebeat/filebeat.yml), indicaremos o nome do índice a utilizar no Elasticsearch, bem como se temos o Kibana e queremos importar os dashboards por defeito:

#================ Configuração do template do Elasticsearch ====================
...
setup.template.name: "suricata"
setup.template.pattern: "suricata-*"
setup.dashboards.index: "suricata-*"
setup.ilm.enabled: Falso
...
setup.kibana:
  anfitrião: "FQDN_O_ENDEREÇO_IP_KIBANA:5601"
...
#---------------------- Saída Elasticsearch ------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  Hosts: ["FQDN_O_ENDEREÇO_IP_ELASTICSEARCH:9200"]
  index: "suricata-%{+yyyy. MM.dd}"
...

Ativamos o módulo do Suricata, criamos alguns dashboards predefinidos no Kibana do Suricata, iniciamos o daemon do Filebeat e fazemos com que seja iniciado automaticamente com o sistema. 

filebeat modules enable suricata
filebeat setup
systemctl start filebeat
systemctl enable filebeat.service
systemctl status filebeat

E sem fazer mais nada poderemos ir aos Dashboards do Kibana ou às suas visualizações e ir vendo os dados que ele vai recolhendo.

Se quisermos visualizar no Grafana, teremos, como sempre, de criar um Data Source apontando para o índice do Suricata no nosso Elasticsearch e poderemos fazer os gráficos como nos interessar, com consultas simples como faríamos a partir do Discover do nosso Kibana, imaginação ao poder!

E nada, ao do 5 em minutos poderás fazer Dashboards assim tão simples e que permitem visualizar rapidamente o que se passa, quais equipamentos acedem a quais, ver as ligações, etc…

Postagens recomendadas

Regras e alertas com ElastAlert 2
Ler
Métricas FortiGate com Prometheus e Grafana
Ler
Métricas do Windows com Prometheus e Grafana
Ler
Métricas de ping com Prometheus e Grafana
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Um podcast para TI - Bitcoin e Blockchain

28 de Janeiro 2021

Um podcast para TI - Um exame de saúde para VOCÊ

8 Fevereiro de 2021