Suricata通过filebeat将告警事件送往Kafka,ElasticSearch

最新推荐文章于 2024-05-11 09:08:44 发布
最新推荐文章于 2024-05-11 09:08:44 发布
阅读量1.7k 收藏
点赞数
分类专栏: 安全 文章标签: Suricata filebeat kafka elasticsearch logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011311291/article/details/87368209
版权

Suricata可以通过logstash将告警事件送往Kafka,ElasticSearch,其实filebeat也可以用来代替logstash,更轻量级,消耗更低性能
配置文件filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /suricatalog/eve.json
  #json.keys_under_root: true #解析json,将json中的字段都放到根节点
  #json.overwrite_keys: true  #配合上一条使用,如果解析出来的字段名和跟节点的字段名相同则覆盖
output.kafka:
  # initial brokers for reading cluster metadata
  hosts: ["10.42.107.170:9092"]
  # message topic selection + partitioning
  topic: 'alert'
  partition.round_robin:
    reachable_only: false

  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000

启动filebeat
./filebeat -e

姚贤贤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全系列-四十四:使用FilebeatElasticSearch、Kinaba 针对Suricata的分析结果eve.json进行可视化展示
penriver的博客
11-29 1726
根据 [网络安全系列-四十三:使用Suricata分析恶意流量pcap文件](https://blog.csdn.net/penriver/article/details/127988457)一文,你可以使用Suricata针对恶意流量pcap进行分析,产生eve.json的分析结果, 那如何针对这些分析结果进行可视化展示呢? 本文使用Filebeatsuricata 模块读取eve.json分析结果并写到elasticsearch,最后由kibana进行可视化展示
evebox:Elastic Search中Suricata EVE事件的基于Web的事件查看器(GUI)
02-06
夏娃盒 EveBox是用于Elastic Search的基于Web的Suricata“ eve”事件... 现有的ElasticSearch / Logstash(版本6或更高版本)设置已经在处理Suricata事件(EveBox此时Filebeat索引有问题)。 只需使用EveBox或EveBox
使用 Suricata 进行入侵监控(一个简单小例子访问百度)
weixin_33713350的博客
08-09 1689
      前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)             1、自己编写一条规则,规则书写参考snort规则(suricata完全兼容snort规则)    例如以百度网站为例:    [root@suricata rules]# cat test.rules  ...
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 4254
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
Suricata】02-Suricata 7.0.x基础配置
最新发布
Simo2024的博客
05-11 1373
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
入侵检测系统suricata模拟攻防实验
qq_45307564的博客
06-26 700
本文将分享如何在一台服务器上配置入侵检测系统suricata,并对该服务器进行模拟攻击实验,由配置的suricata规则查看生成的警告文件。
Suricata+ELK 8.4.3(docker)可视化
Purpose_7的博客
10-14 2626
Suricata+ELK 8.4.3(docker)可视化
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearchlogstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里的想法是使用由发布的普通...
发烧:适用于Suricata的EVE-JSON格式的快速,可扩展,多功能事件路由器
02-04
快速,可扩展,多功能事件路由器(FEVER)是一种用于快速处理Suricata的JSON EVE输出中的事件的工具。 “处理”的含义是由许多模块化组件定义的,例如,便于快速提取到数据库中。 其他处理器实现各种元数据(例如,...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
brimcap:无缝地将pcap转换为类型丰富的zng zeek和suricata日志
04-12
帽檐 命令行实用程序,用于将pcap数据转换为灵活的,可搜索的zng数据格式,如和zq。快速开始 。 随手准备一个pcap(或从下载示例pcap)。 运行brimcap分析: brimcap analyze sample.pcap > sample.zng 使用浏览: ...
Suricata通过logstash告警事件送往Kafka
u011311291的博客
01-11 1332
一.安装logstash,解压即可使用 环境装有jdk1.8 tar -zxvf logstash-6.5.4.tar.gz 二.自己创建logstash运行配置文件 比如创建:config/logstash.conf input { file { path => ["/usr/local/var/log/suricata/eve.json"]//Suricata告警事件文件路径
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 6385
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
Suricata日志同步至Elasticsearch
Zpz501的博客
04-19 2087
最近项目出了点事情,搞的很懵比&郁闷,不过问题也算是解决了。日志搜集统计使用logstashlogstash的使用方法可以参照:https://www.elastic.co/guide/en/logstash/6.2/advanced-pipeline.html我这里使用的logstash版本为logstash-5.6.5,Elasticsearch版本为Elasticsearch-2....
filebeat 配置简单优化
whime
05-22 2103
filebeat 配置优化 实验环境 本架构采用 filebeat + ELK搭建,将suricata节点收集到的日志数据通过filebeat 发送到logstash,由logstash 发送到 elasticsearch 进行索引。 filebeat: 单核,主存3GB。 ELK: 双核,主存8GB 问题描述 通过kibana的监视工具xpack可以看到,elasticsearch ...
Beats:运用 Filebeat module 分析 nginx 日志
Elastic 中国社区官方博客
09-28 7037
在之前的文章中,我介绍了如何使用Filebeat把一个日志文件直接写入到Elasticsearch中,或通过Logstash的方法写到Elasticsearch中。在今天的文章中,我们来介绍如何运用Filebeat模块来把nginx日志导入到Elasticsearch中,并进行分析。 Filebeat模块为您提供了一种快速处理常见日志格式的快速方法。 它们包含默认配置,Elasticsearch...
Suricata的输出
weixin_33901926的博客
08-17 914
      不多说,直接上干货!      见官网 https://suricata.readthedocs.io/en/latest/output/index.html         总的来说,Suricata采集下来的数据输出分为:EVE 、 Lua Output  、 Syslog Alerting Compatibility  、 Custom http l...
ubuntu18.04安装es和kibana(详细)
Bobdragery的博客
06-18 1682
ubuntu18.04安装学习elasticsearch 一、java环境安装 1、更新软件包列表: sudo apt-get update 2、安装openjdk-8-jdk: sudo apt-get install openjdk-8-jdk 3、查看java版本,看看是否安装成功: java -version 二、es安装包下载启动(本机使用的是es7.6.1) 安装包解压后,在bin目录下,终端直接运行文件 三、es可视化前端 1、下载可视化界面es head的插件 https://gith
suricata由阻断转为告警
06-03
Suricata是一个开源的网络入侵检测系统,它可以实现实时监测和阻断网络攻击。如果您需要将Suricata的阻断功能改为告警功能,您可以按照以下步骤进行设置: 1. 打开Suricata配置文件,通常位于/etc/suricata/suricata.yaml或/etc/suricata/suricata.yml; 2. 找到rules配置项,将默认的action设置为alert,如下所示: ``` default-rule-action: alert ``` 3. 保存配置文件并重新启动Suricata服务,使配置生效。 这样,Suricata将不再阻断网络攻击,而是将检测到的攻击转为告警信息,以便管理员及时采取措施。请注意,在告警模式下,Suricata仍然会记录攻击事件的详细信息,包括攻击类型、攻击来源、目标等,以便后续的分析和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值