Suricata日志同步至Elasticsearch

最新推荐文章于 2024-09-11 19:47:59 发布
最新推荐文章于 2024-09-11 19:47:59 发布
阅读量2.1k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zpz501/article/details/80006538
版权

最近项目出了点事情,搞的很懵比&郁闷,不过问题也算是解决了。

日志搜集统计使用logstash,logstash的使用方法可以参照:https://www.elastic.co/guide/en/logstash/6.2/advanced-pipeline.html

我这里使用的logstash版本为logstash-5.6.5,Elasticsearch版本为Elasticsearch-2.4.6,说一下版本是因为,不同的logstash版本和Elasticsearch同步的时候可能会出现一些不可预知的问题,在Elasticsearch的使用说明上有提示,大家自己去翻一翻英文文档。

来一份logstash日志同步的简单配置:

input {
  file { 
    path => ["/usr/local/var/log/suricata/eve-*.json"] --这里是日志的路径
    codec => json
    type => "accesslog" 
  }
}

output {
  elasticsearch {
    hosts => ["IP:9200"]
    index => "es索引名称"
    codec => "json" --我这里是json格式的
  }
}

日志同步的时候,可以根据自己的需求做一些filter过滤,大概就讲这么多吧。


工作方向可能要变了,郁闷。。。

Zpz501
关注
日志同步到MySQLl数据库两种方式
DreamsArchitects的博客
10-15 785
文章目录第一种 通过 logback-spring.xml配置文件方式第二种 通过Logstash方式 同步 第一种 通过 logback-spring.xml配置文件方式 第二种 通过Logstash方式 同步
Suricata通过logstash将告警事件送往ElasticSearch
u011311291的博客
01-21 1745
一.安装logstash,解压即可使用 环境装有jdk1.8 tar -zxvf logstash-6.5.4.tar.gz 二.自己创建logstash运行配置文件 比如创建:config/logstash.conf(记得使用的时候把注释删掉) input { file { path => ["/usr/local/var/log/suricata/eve.json"] //S...
NIDS——suricata(三)
最新发布
weixin_58666006的博客
09-11 1178
监控除http以外的常见的协议,如:ICMP、TCP、SSH。扩展对MySql的预警
ElasticSearch集成方案
zhangyabin86的博客
01-06 61
ElasticSearch集成方案
logstash+elasticsearch+kibana搭建监控平台 
11-17
使用logstash+elasticsearch+kibana搭建监控平台  ,也可以使用logstash+influxdb+grafana搭建监控平台  
基于CentOS6.5或Ubuntu14.04下Suricata里搭配安装 ELK (elasticsearch, logstash, kibana)(图文详解)...
weixin_34195546的博客
08-11 663
      前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)   基于Ubuntu14.04下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)                参考官网 https://redmine.openinfose...
filebeat 倒入 mysql_Filebeat使用内置的mysql模块收集日志存储到ES集群并使用kibana存储...
weixin_29800917的博客
01-21 366
Filebeat内置了不少的模块,可以直接使用他们对日志进行收集,支持的模块如下:[root@ELK-chaofeng07 logstash]# filebeat modules listEnabled:mysqlDisabled:apache2auditdelasticsearchhaproxyicingaiiskafkakibanalogstashmongodbnginxosquerypost...
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5331
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
ES elasticsearch 从入门到放弃-ELK和ELS简介
欧阳金城-武
08-06 3940
https://www.carc.top/post/90.html ELK解决方案 ELK是什么? ELK = ElasticSearch + Logstash + Kibana 这是一套开源的大型分布式的日志分析、搜索引擎解决方案。 随着技术的发展,ELK不局限于那三者,又有了Beats,因此社区通常不再说ELK,而是说ElasticStack(下文简称 ElasticStack),也就是以ElasticSearch为核心的技术栈。 ELS各个组件有什么作用? 如下图所示: Beats 用于采集一切数
Kali Linux终端日志分析:洞悉系统运行状态的10大工具与方法
日志文件是任何系统运行时产生的记录文件,它们记录了关于系统活动、安全事件、用户行为、错误信息和应用程序性能等关键信息。有效的日志分析不仅能够帮助系统管理员进行故障诊断、性能调优,也是安全人员监测和响应...
evebox:Elastic Search中Suricata EVE事件的基于Web的事件查看器(GUI)
02-06
夏娃盒 EveBox是用于Elastic Search的基于Web的Suricata“ eve”事件查看器。 产品特点 基于Web的事件查看器,采用“收件箱”方法进行警报管理。 事件搜索。 用于将Suricata事件发送到EveBox服务器的代理(但您可以改用Filebeat / Logstash)。 嵌入式SQLite,用于独立安装。 要求 Suricata-生成警报和事件。 还有... 现有的ElasticSearch / Logstash(版本6或更高版本)设置已经在处理Suricata事件(EveBox此时Filebeat索引有问题)。 只需使用EveBox或EveBox
Amsterdam:基于Docker的SuricataElasticsearchLogstash,Kibana,Sirius aka SELKS
05-15
阿姆斯特丹 介绍 阿姆斯特丹是使用Compose的SELKS和Docker。 阿姆斯特丹的结果是提供了完整的Suricata IDS / NSM生态系统的一组容器: 苏里卡塔 弹性搜索 Logstash 基巴纳 希里乌斯 Evebox( ) ELK堆栈是使用官方docker映像创建的。 LogstashSuricata之间的通信是通过共享目录(来自主机)完成的。 这适用于共享/ etc / suricata / rules目录的scirius和suricata。 安装 通用的 您可以通过运行从源目录安装amsterdam sudo python setup.py install 或者您可以使用pip安装最新发布的版本 sudo pip install amsterdam 德比安 您需要安装Docker。 在Debian上 sudo apt-get install docker.
suricata+elk+kibana+logstash安装手册.docx
08-13
最近因为工作花了两天时间原因搭了一套完整的IPS和IDS,包括suricata、kibana、elk、logstash等内容,中间遇到很多问题,我把整个搭建的过程记录了下来,给搭建分享下经验。大神绕路~
发烧:适用于Suricata的EVE-JSON格式的快速,可扩展,多功能事件路由器
02-04
:fire: 发热 快速,可扩展,多功能事件路由器(FEVER)是一种用于快速处理Suricata的JSON EVE输出中的事件的工具。 “处理”的含义是由许多模块化组件定义的,例如,便于快速提取到数据库中。 其他处理器实现各种元数据(例如,聚合流和原始流,被动DNS数据等)以及性能指标的收集,聚合和转发。 它打算在Logstash之类的通用日志处理器之前使用(或代替它使用),以增加在看到大量流量的传感器上观察到的事件吞吐量。 建造 像其他任何好的Go程序一样: $ go get -t ./... $ go build ./... $ go install -v ./... ... $ fever
网络安全系列-四十四:使用Filebeat、ElasticSearch、Kinaba 针对Suricata的分析结果eve.json进行可视化展示
penriver的博客
11-29 1769
根据 [网络安全系列-四十三:使用Suricata分析恶意流量pcap文件](https://blog.csdn.net/penriver/article/details/127988457)一文,你可以使用Suricata针对恶意流量pcap进行分析,产生eve.json的分析结果, 那如何针对这些分析结果进行可视化展示呢? 本文使用Filebeat的suricata 模块读取eve.json分析结果并写到elasticsearch,最后由kibana进行可视化展示
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2329
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 6801
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
suricata + ELK保姆级搭建入侵检测/入侵防御02 --- ELK搭建
m0_49979570的博客
01-24 4978
前言 上篇文章讲到,使用suricata搭建入侵检测/入侵防御的流程,不仅如此,我们希望能够通过一个图形化的方式,来查看当前计算机的网络检测的相关信息。 这篇文章主要介绍使用ELK的方式来搭建日志分析环境,使用Logstash收集对suricata产生的警告消息并存储于Elasticsearch上,由Kibana读取Elasticsearch的数据并进行展示。 环境定义 使用两台机器进行部署,为Ubuntu OS18 第一台IP地址: 192.168.1.2 第二台IP地址: 192.168.1.3 第
kibana 查询_FileBeat+ElasticSearch+Kibana 实时日志系统搭建从入门到放弃 小白玩大数据日志分析系统经典入门实操篇...
weixin_39556811的博客
12-01 802
距离全链路跟踪分析系统第二个迭代已经有一小阵子了,由于在项目中主要在写ES查询\Storm Bolt逻辑,都没有去搭建实时日志分析系统,全链路跟踪分析系统采用的开源产品组合为FileBeat、Kafka、LogStash、Elastic、Storm,外加自主前端、自定义日志。今天挤出时间,选用FileBeat、ElasticSearch、Kibana搭建了一个实时日志系统。搭建之前,看了...
Suricata日志翻转与SIGHUP信号处理详解
在网络安全领域,Suricata是一个至关重要的工具,能够实时监测网络流量,识别潜在的攻击行为。在【日志翻转-sca100t中文详细使用说明书】中,重点讲述了如何管理和翻转Suricata日志文件。 日志翻转是维护日志文件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值