超级会员免费看
本文介绍了如何利用Filebeat的Suricata模块读取Suricata分析恶意流量产生的eve.json,并将数据转发到Elasticsearch,再通过Kibana进行可视化展示。内容包括Filebeat、Elasticsearch和Kibana的简介,环境搭建步骤,以及如何查看和分析Suricata的可视化结果。
1. 背景
根据 网络安全系列-四十三:使用Suricata分析恶意流量pcap文件一文,你可以使用Suricata针对恶意流量pcap进行分析,产生eve.json的分析结果, 那如何针对这些分析结果进行可视化展示呢?
本文使用Filebeat的suricata 模块读取eve.json分析结果并写到elasticsearch,最后由kibana进行可视化展示
2. 相关软件介绍
2.1. filebeat介绍
Beats 在ELK框架中是一个轻量型数据采集器。
- 早期的 ELK 架构中使用 Logstash 收集、解析日志,但是 Logstash 对内存、cpu、io 等资源消耗比较高。相比 Logstash,Beats 所占系统的 CPU 和内存几乎可以忽略不计
- Beats 是一个免费且开放的平台,集合了多种单一用途数据采集器。它们从成百上千或成千上万台机器和系统向 Logstash 或 Elasticsearch 发送数据
- Filebeat: 用于采集日志和其他数据的轻量型采集器,使用参见
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
