Suricata是一种网络流量识别工具,它使用社区创建的和用户定义的signatures签名集(规则)来检查和处理网络流量,当检测到可疑数据包时,Suricata 可以触发警报。
默认情况下,Suricata会把软件日志存放在/var/log/suricata,以下是基本的介绍:
eve.json:Suricata 最详细和最有用的日志文件之一。eve.json 日志格式为 JSON,记录所有安装的检测引擎和其他模块所生成的事件信息,如警报、HTTP 请求/响应、TLS 握手和 SSH 握手等。每个事件都包含重要的元信息,如时间戳、来自哪个接口的流量、事件类型、源/目标 IP 和端口、协议和应用程序信息等。
eve.log:与eve.json相同,但格式为单行文本格式,而不是 JSON。如果将 Suricata 其他日志聚合系统集成,则该格式可能更方便些。
fast.log:是一个简单的文本格式文件,包含了有关网络流量中服务请求和响应的基本信息,如协议、端口、源/目标地址和事件计数等信息。这使得fast.log不像eve.json一样详细,但可以在大量流量时提供轻量级的性能提升。
stats.log:包含与 Suricata 本身的统计信息相关的数据,如 CPU 利用率、内存使用情况以及处理的数据包数和流量量等信息,通常用于监控 Suricata 本身的性能和健康状况。
本文的目标就是把Suricata产生的eve日志导入到es里,使用kibana进行可视化展示,快速搜索、查询、分析。
这次的实际环境中,我们使用双网卡服务器部署 Suricata ,然后配置核心交换机的网络流量端口镜像到Suricata服务器的网卡上,来进行流量检测。
配置需求:检查的流量越多,需要分配给 Suricata 的资源就越多。 这里计划使用4核CPU 和16GB 的内存,硬盘1T。
准备一台双网卡的机器,一块网卡用于提供Web服务和后台管理,一块网卡用于开启混杂模式收集流量进行监测。
配置监听网卡混杂模式
ifconfig//执行查看网卡名称和MAC地址,结合MAC地址确定监听哪块网卡ifconfig ens224 promisc//选择要用于监听的网卡,然再次次执行检查
如上图,这里准备使用ens224网卡进行流量监听。然后,找网络管理运维大哥告诉他网卡Mac地址,让他帮你开启流量镜像到你的监听网卡上。
然后,使用一个小工具测试一下配置结果。
yum install dstat -y//安装dstatdstat -tnf//查看两个网卡的进出流量大小,根据数值评估是否开启成功
如上图,这里看到ens224网卡上每秒接收了大约12MB的流量,这可以证明我们上面的配置有效。
编辑 Suricata 的配置,更改网卡名称,配置监听我们的流量端口镜像的网卡。/etc/suricata/suricata.yaml详情请查看上一篇文章
# Linux high speed capture supportaf-packet: - interface: ens224 # Number of receive threads. "auto" uses the number of cores #threads: auto # Default clusterid. AF_PACKET will load balance packets based on flow.
cluster-id: 99(向右滑动,查看更多)
为了保证环境一致性和稳定性,这里使用docker部署最新的elastic stack 8.7,首先拉取镜像,创建docker内部网络。
docker pull docker.elastic.co/elasticsearch/elasticsearch:8.7.0docker network create elasticdocker pull docker.elastic.co/kibana/kibana:8.7.0(向右滑动,查看更多)
启动es,并将eve.json挂载到docker 容器内部。
docker run --name es-node01 --net elastic -d -v /var/log/suricata/eve.json:/var/log/suricata/eve.json -p 9200:9200 -p 9300:9300 -t docker.elastic.co/elasticsearch/elasticsearch:8.7.0
(向右滑动,查看更多)
启动kibana
docker run --name kib-01 --net elastic -d -p 5601:5601 docker.elastic.co/kibana/kibana:8.7.0
(向右滑动,查看更多)
访问管理网卡的ipyour_ip:5601(https),这里需要一个安全token。
以前的Elasticsearch 配置没有启用任何身份验证。经常有数据泄露问题。最新的es8.0已经默认开启xpack了,配置起来繁琐一些,但是安全性已经大大提高了。
宿主机执行:docker exec -it es-node01 /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana,将回显填入,点击configure elastic
然后需要输入一个6位验证码,宿主机执行docker logs kib-01将回显填入。
然后提示账号密码
宿主机执行docker exec -it es-node01 /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic获得账号密码,这个需要记住。
登录后进入kibana。
点击添加数据
搜索Suricata
这里不用改
添加agent,选择Run standalone,将第一步中的一大段配置文件内容修改后复制留存
hosts: - 'https://127.0.0.1:9200' //修改为[本机:9200] ssl.ca_trusted_fingerprint: '7****************************3'//这行不动 username: 'elastic'//修改为上面获取的账号 password: 'Gxq*************qeaI' ////修改为上面获取的密码(向右滑动,查看更多)
在宿主机按照要求执行
curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.7.0-x86_64.rpmsudo rpm -vi elastic-agent-8.7.0-x86_64.rpm sudo systemctl enable elastic-agent sudo systemctl start elastic-agent(向右滑动,查看更多)
将原本的vim /etc/elastic-agent/elastic-agent.yml备份,将上面复制的配置文件内容全部写入保存。
systemctl restart elastic-agent #重启systemctl status elastic-agent #查看运行状态(向右滑动,查看更多)
然后在kibana搜索suricata查看dashboard
然后就配置完成,如果数据很少可能是网络流量小,agent需要时间传输日志进es等原因。
后续,我们将探讨如何优化 Suricata 规则,添加外围告警,绘制信息密度更高的 dashboard 等内容。
精彩推荐