Visualizando registros do Meerkat no Grafana ou Kibana

Impressão amigável, PDF & Email

Después de ver cómo instalamos Suricata y haberlo dejado funcional, Agora é hora de tratar seus dados e visualizá-los de forma mais amigável, para isso contaremos com a Grafana como visualizador, embora com o Kibana você possa fazê-lo da mesma maneira (ou mais simples). Tudo isso graças ao fato de que vamos armazenar os LOGs Meerkat no Elasticsearch.

El proceso es realmente sencillo, en la máquina que corre Suricata le instalaremos Filebeat para recolectar el fichero de log y enviarselo a Elasticsearch directamente, tras ello habilitaremos el módulo de suricata y lo configuramos. Una vez lo tengamos listo, debería nuestro Elasticsearch empezar a almacenar estos registros, y con Grafana poder explotarlos, o con Kibana, ir.

Abrimos nuestro Kibana, en el menú izquierdo vamos al icono de “SEMPRE” > “Add data with Beats” > “Suricata logsy nos dará todo el detalle de qué necesitamos. Es esta URL: Referências HTTP://IP_ELASTIC_SEARCH:5601/app/kibana#/home/tutorial/suricataLogs

Nos posicionamos sobre la pestañaDEB” (No meu caso, ya que Suricata corre bajo Debian Buster) y como vemos viene perfectamente explicadito.

Instalación de Filebeats:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb
dpkg -i filebeat-7.7.0-amd64.deb

Editamos el fichero de configuración de Filebeat (/etc/filebeat/filebeat.yml), indicaremos el nombre del índice a utilizar en Elasticsearch, así como si tenemos Kibana y queremos importar los dashboards por defecto:

#================ Elasticsearch template setting ====================
...
setup.template.name: "suricata"
setup.template.pattern: "suricata-*"
setup.dashboards.index: "suricata-*"
setup.ilm.enabled: Falso
...
setup.kibana:
  anfitrião: "FQDN_O_DIRECCION_IP_KIBANA:5601"
...
#---------------------- Elasticsearch output ------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  Hosts: ["FQDN_O_DIRECCION_IP_ELASTICSEARCH:9200"]
  index: "suricata-%{+yyyy.MM.dd}"
...

Habilitamos el módulo de Suricata, creamos unos dashboards predeternubadis en Kibana de Suricata, arrancamos el demonio de Filebeat y hacemos que se inicie de manera automática con el sistema. 

filebeat modules enable suricata
filebeat setup
systemctl start filebeat
systemctl enable filebeat.service
systemctl status filebeat

Y sin hacer nada más podremos ir a los Dashboards de Kibana o a sus visualizaciones e ir viendo los datos que nos va recogiendo.

Si queremos visualizarlo en Grafana, deberemos como siempre crear un Data Source apuntando al índice de Suricata de nuestro Elasticsearch y podremos hacer las gráficas como nos interese, con simples consultas como lo haríamos desde el Discover de nuestro Kibana, imaginación al poder!

E nada, al de 5 minutos podrás hacer Dashboards así de simplones y que te permiten visualizar rápidamente qué pasa, qué equipos acceden a cuales, ver las conexiones, etc…

Postagens recomendadas

Métricas do Windows com Prometheus e Grafana
Ler
Regras e alertas com ElastAlert 2
Ler
Métricas de ping com Prometheus e Grafana
Ler
Métricas FortiGate com Prometheus e Grafana
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Um podcast para TI - Bitcoin e Blockchain

28 de Janeiro 2021

Um podcast para TI - Um exame de saúde para VOCÊ

8 Fevereiro de 2021