Suricata+ELK 8.4.3(docker)可视化

最新推荐文章于 2024-05-31 09:44:20 发布
最新推荐文章于 2024-05-31 09:44:20 发布
阅读量2.5k 收藏 11
点赞数 4
分类专栏: 随便写点 文章标签: docker elk elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpose_7/article/details/127314558
版权

Suricata+ELK 8.4.3(docker)可视化

主机1安装elk

主机2安装suricata+filebeat

主机1、主机2均为Ubuntu18.04

1 安装elk

1.1 准备

准备docker镜像

docker pull logstash:8.4.3
docker pull kibana:8.4.3
docker pull elasticsearch:8.4.3

image-20221013085104662

创建文件夹用于docker映射

mkdir -p /data/elk/{es,logstash,kibana}
image-20221013085341623

编辑文件/etc/sysctl.conf,在文件最后一行添加

vm.max_map_count=262144

image-20221014083744967

执行命令令配置生效。该配置限制了一个进程可以拥有的虚拟内存区域的数量,如果太小会导致容器无法启动,所以提前进行配置。elasticsearch运行要求该值最小为262144。

sysctl -p

image-20221014083816476

1.2 生成elasticsearch密码

创建文件夹/data/elk/es/data

修改文件夹属主和属组为1000。在docker容器中,elasticsearch运行用户为1000;如果系统中已存在uid=1000的用户,可以将文件夹权限给到777。

image-20221014083337116

运行elasticsearch,使用-v参数指定文件夹映射关系。

docker run -d --name es -p 9200:9200 -p 9300:9300 -v /data/elk/es/data:/usr/share/elasticsearch/data elasticsearch:8.4.3

image-20221014084120784

等容器内服务启动后,使用https访问目标主机的9200端口,发现要求输入用户名跟密码。

image-20221014084251859

在8.4.3版本的elasticsearch中,服务首次运行时会生成随机密码和随机enrollment token,如下图所示。

image-20221013090159778

但是由于我们使用了-d参数,无法看到回显信息,所以需要对密码进行重置。

进入docker中的/usr/share/elasticsearch/bin目录,默认情况下直接docker exec -it es bash拿到的是elasticsearch用户,且在/usr/share/elasticsearch路径下,所以直接进入bin目录即可。

image-20221014084546784

调用elasticsearch-setup-passwords设置内置用户的密码,interactive参数表示在交互式模式下手动指定密码。为了方便此处将所有密码都设置为123456

elasticsearch-setup-passwords interactive

image-20221014084624704

使用刚才设置的密码成功访问elasticsearch服务。

image-20221014084740632

而刚才生成的密码信息也已经存储到了映射的/data/elk/es/data中。

image-20221014084821346

停止并删除刚才创建的elasticsearch容器

1.3 运行elk

写docker-compose.yml文件,创建docker network,指定elasticseach的IP地址为172.16.200.10,kibana的地址为172.16.200.20,logstash的地址为172.16.200.30,指定kibana和logstash的配置文件映射

version: '3'

services:
  elasticsearch:
    container_name: es
    image: elasticsearch:8.4.3
    restart: "always"
    ports:
      - "9200:9200"
    expose:
      - "9300"
    volumes:
      - "/data/elk/es/data:/usr/share/elasticsearch/data"
    environment:
      discovery.type: single-node

    networks:
      elastic:
        ipv4_address: 172.16.200.10

  kibana:
    container_name: kibana
    image: kibana:8.4.3
    restart: "always"
    ports:
      - "5601:5601"
    volumes:
      - "/data/elk/kibana/kibana.yml:/usr/share/kibana/config/kibana.yml"
    networks:
      elastic:
        ipv4_address: 172.16.200.20
    depends_on:
      - elasticsearch

  logstash:
    container_name: logstash
    image: logstash:8.4.3
    restart: "always"
    expose:
      - "5044"
    volumes:
      - "/data/elk/logstash/logstash.yml:/usr/share/logstash/logstash.yml"
    depends_on:
      - elasticsearch
    networks:
      elastic:
        ipv4_address: 172.16.200.30

networks:
  elk:
    driver: bridge
    ipam:
      config:
        - subnet: "172.16.200.0/24"

创建kibana的配置文件/data/elk/kibana/kibana.yml,其中 elasticsearch.hostselasticsearch.password根据实际情况填写,elasticsearch.password处使用之前设置的kibana_system用户的密码,非elastic用户的密码。

server.name: kibana
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://172.16.200.10:9200"]
elasticsearch.username: "kibana_system"
elasticsearch.password: "123456"
xpack.monitoring.ui.container.elasticsearch.enabled: true

创建logstash的配置文件/data/elk/logstash/logstash.yml,修改同理

http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://172.16.200.10:9200" ]
xpack.monitoring.elasticsearch.username: "logstash_system"
xpack.monitoring.elasticsearch.password: "123456"

/data/elk/es/data/elk/kibana/data/elk/logstash的文件属主和属组都修改为1000

image-20221014090325235

启动ELK

docker-compose up -d

image-20221014090614531

使用http访问9200端口,使用elastic用户的密码进行认证

image-20221014090653101

使用http访问5601端口,使用elastic用户的密码进行认证

image-20221014090820077

这两个随便点都可以

image-20221014090903811

到这里,elk配置暂告一段落

2 安装suricata

在主机2上安装suricata

使用官方文档中的快速安装方法

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt install suricata jq

下载suricata规则

suricata-update

image-20221013134505501

检查suricata运行状态,为exited

systemctl status suricata

image-20221014091328972

修改suricata的配置文件/etc/suricata/suricata.yaml,确认网卡名称与本机相同。

image-20221014092828602

image-20221014092831393

重启suricata服务,为running状态

image-20221014093137063

在本次安装中,只使用了suricata的默认规则,可以根据实际需求安装其他规则包。

/var/log/suricata/eve.json中可以看到记录的事件

image-20221014094732152

3 安装filebeat

参考官方文档

下载deb包

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.4.3-amd64.deb

安装deb包

sudo dpkg -i filebeat-8.4.3-amd64.deb

image-20221014092006817

修改配置文件/etc/filebeat/filebeat.yml,直接将原来的filebeat.yml备份,然后重新写一个。filebeat.config.modules是为了联动suricata。由于elasticsearch没有启用TLS,所以不需要配置ssl.ca_trusted_fingerprint

output.elasticsearch:
  hosts: ["http://10.2.4.13:9200"]
  username: "elastic"
  password: "123456"
  # If using Elasticsearch's default certificate
  # ssl.ca_trusted_fingerprint: "<es cert fingerprint>"
setup.kibana:
  host: "http://10.2.4.13:5601"
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false

image-20221014092222564

启用filebeat的suricata模块

sudo filebeat modules enable suricata

image-20221014092459378

/etc/filebeat/modules.d/suricata.yml文件中enabled的值改为true

image-20221014093407717

执行命令将suricata的dashboard添加到kibana中

filebeat setup

image-20221014093642297

登录kibana,在Dashboard中看到filebeat添加的模板

image-20221014093800173

将filebeat开机自启,并启动filebeat

systemctl enable filebeat
systemctl start filebeat

image-20221014093855813

4 最终效果

随便找个工具攻击一下安装suricata的主机,生成数据

打开Dashboard中的任意模板,以Events Overview为例,看到如下效果

image-20221014094205764

Alert Overview的效果如下

image-20221014094550829

Discover模块也能够看到suricata传过来的事件信息。

image-20221014095002856

由于suricata的规则包比较粗略,所以记录了一些不必要的内容,所以后续还是要做suricata规则上的优化。

5 参考链接

https://www.osgeo.cn/suricata/quickstart.html#installation

https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html

https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation-configuration.html

xxL7-
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Amsterdam:基于DockerSuricataElasticsearch,Logstash,Kibana,Sirius aka SELKS
05-15
阿姆斯特丹 介绍 阿姆斯特丹是使用Compose的SELKS和Docker。 阿姆斯特丹的结果是提供了完整的Suricata IDS / NSM生态系统的一组容器: 苏里卡塔 弹性搜索 Logstash 基巴纳 希里乌斯 Evebox( ) ELK堆栈是使用官方docker映像创建的。 Logstash和Suricata之间的通信是通过共享目录(来自主机)完成的。 这适用于共享/ etc / suricata / rules目录的scirius和suricata。 安装 通用的 您可以通过运行从源目录安装amsterdam sudo python setup.py install 或者您可以使用pip安装最新发布的版本 sudo pip install amsterdam 德比安 您需要安装Docker。 在Debian上 sudo apt-get install docker.
suricata-dockersuricatadocker实现
02-24
suricata-docker suricatadocker实现
推荐项目:Suricata Docker Image——网络监控的利器
最新发布
gitblog_00067的博客
05-31 420
推荐项目:Suricata Docker Image——网络监控的利器 项目地址:https://gitcode.com/jasonish/docker-suricata 在网络安全日益重要的今天, Suricata作为一个高性能的网络监控引擎,扮演着至关重要的角色。结合Docker技术,我们迎来了Suricata Docker Image,这是安全与便捷性的完美融合。本文将从四个方面深入探讨这一...
suricata + ELK保姆级搭建入侵检测/入侵防御01 --- suricata环境搭建
m0_49979570的博客
01-24 6552
前言 最近在整理网络安全方面的问题,服务器由于是部署在微软云的原因,所以在微软云中了解到了网络监察程序相关的内容,它使用的是suricata + ELK来进行网络流量的监察,在查找suricata的过程,我发现国内suricata方面的资源太少,以至于花了一些时间才明白是如何进行搭建的。(其实就是菜 = =|||) 本文章搭建的环境为Ubuntu OS,使用的suricata是直接使用apt install方式安装。 由于在微软云上直接看网络监察程序那页实在是没说明白,直接跟着操作会有一些问题存在,所以E
Su+ELK实现网络监测(3)——实际应用配置
ytraister的博客
05-16 725
Su+ELK实现网络监测(3)——实际应用配置
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELKElasticsearch,logstash和kibana) 已针对Windows使用dockerElasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里的想法是使用由发布的普通docker镜像。 我们使用docker-compose.yml指定磁盘上要映射的位置,例如elasticsearch的数据目录和logstash的配置目录。 将来,升级弹性版本应与设置以下定义的环境变量一样容易。 安装 码头工人 安装 。 下载内容。 在git repo目录中打开命令提示符。 运行以下命令来设置弹性版本环境变量: 设置ELASTIC_VERSION = 6.3.0 设置TAG = 6.3.0 编
suricata + ELK保姆级搭建入侵检测/入侵防御02 --- ELK搭建
m0_49979570的博客
01-24 4720
前言 上篇文章讲到,使用suricata搭建入侵检测/入侵防御的流程,不仅如此,我们希望能够通过一个图形化的方式,来查看当前计算机的网络检测的相关信息。 这篇文章主要介绍使用ELK的方式来搭建日志分析环境,使用Logstash收集对suricata产生的警告消息并存储于Elasticsearch上,由Kibana读取Elasticsearch的数据并进行展示。 环境定义 使用两台机器进行部署,为Ubuntu OS18 第一台IP地址: 192.168.1.2 第二台IP地址: 192.168.1.3 第
suricata+elk+kibana+logstash安装手册.docx
08-13
Suricata+ELK+kibana+logstash 安装手册是网络安全领域中构建入侵检测系统(IDS)和入侵防御系统(IPS)的关键步骤。这个文档详细介绍了如何在CentOS 7环境下设置一套完整的监控解决方案,包括 Suricata 作为核心的...
docker-elk-suricata:针对pfSense和SuricataELK堆栈,针对Synology NAS进行了优化
02-05
docker-elk-suricata:针对pfSense和SuricataELK堆栈,针对Synology NAS进行了优化
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用DockerDocker Compose运行Suricata的4.0.4版本。 这是...
Filebeat_学习报告
weixin_70228478的博客
10-23 1120
1.减少导出字段的数量2.使用其他元数据增强事件3.执行其他处理和解码。
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
evebox, 在弹性搜索中,基于Web的事件查看器 ( GUI ) 用于 Suricata.zip
09-18
evebox, 在弹性搜索中,基于Web的事件查看器 ( GUI ) 用于 Suricata EveBox EveBox是基于web的用于弹性搜索的Suricata"eve"事件查看器 。 特性基于web的事件查看器,采用"收件箱"方法进行警报管理。事件搜索。将Suricata事件发送到EveBox服务器(
suricata 架构图------持续更新
superbfly的专栏
01-31 7628
suricata架构,红色文字为待分析部分
suricata的简介以及安装过程
qianligaoshan的专栏
04-08 6122
Suricata介绍
Suricata的配置
weixin_34302561的博客
08-17 301
          见官网 https://suricata.readthedocs.io/en/latest/configuration/index.html#             Docs »   8. Configuration  Edit on GitHub 8. Configuration 8.1. S...
Ubuntu 16.04 安装 Suricata
bai00的专栏
12-05 896
1. apt-get install build-essential 2. apt-get install pkg-config 3. apt-get install libpcre3-dev libpcap-dev libcap-ng-dev libmagic-dev  libyaml-dev zlib1g-dev liblz4-dev libjansson-dev cargo 4. ca...
suricata的安装与使用
qq_43671947的博客
08-13 5817
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata就安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
SELKS
upupday19的博客
09-14 3553
Suricata+ELK ELK 1、 组成:Elasticsearch、Logstash、Kibana,这三者是核心套件的,但并非全部,架构不同,组件也有差别。ELK就是这三个组件的简称。 2、 功能: a)      Elasticsearch 简称为ES,是实时全文搜索和分析引擎,能够提供搜集、分析、存储数据三大功能,构建于Apache Lucene搜索引擎库智商, b)
suricata 界面
08-18
Surata没有独立的GUI界面。它是一个基于命令行的网络入侵检测系统,可以通过在终端中运行命令来配置和管理。你可以使用命令行来启动Suricata,监视网络流量并生成报告。如果你想要可视化地查看Suricata的输出,你可以使用一些第三方工具,比如Elasticsearch、Kibana或者Grafana来对Suricata的日志进行分析和可视化展示。这些工具可以帮助你更方便地理解Suricata的输出信息,并提供更直观的界面来监视和分析网络流量。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [suricata匹配从入门到精通(一)----suricata安装配置及使用](https://blog.csdn.net/leeezp/article/details/126350975)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值