OPNsense Kibana Discover
Zur Navigation springen
Zur Suche springen
Zeitspanne einstellen
- Standardmäßig zeigt Kibana nur Last 15 minutes.
- Stelle oben rechts die Zeitspanne um auf Last 24 hours oder This week.
- Klicke danach auf Refresh, um die Daten neu zu laden.
- Ergebnis: Es erscheinen alle verfügbaren Suricata- und Firewall-Events im gewählten Zeitraum.
Überblick verschaffen
- In Discover das gewünschte Data View auswählen (z. B. apm-*, auditbeat-*, end...).
- Auf der linken Seite wichtige Felder aktivieren:
- @timestamp - event.dataset - source.ip - destination.ip - destination.port - event.action
- Die Tabelle zeigt nun für jedes Event die Zeit, Quelle, Ziel und Aktion an.
Suricata-Events analysieren
- Filter setzen:
event.dataset : "suricata.eve"
- Typische Felder:
- rule.id - rule.description - destination.ip - destination.port - event.severity
- Beispiel: Alle Suricata-Warnungen für HTTP oder SSH erkennen.
Firewall-Events analysieren
- Filter setzen:
event.dataset : "pf"
- Typische Felder:
- action (pass / block) - interface - source.ip - destination.ip
- Beispiel: Zeige geblockte Zugriffe mit:
event.action : "blocked"
IDS und Firewall korrelieren
- Kombinierter Filter:
(event.dataset : "suricata.eve" AND destination.port : 80) OR (event.dataset : "pf" AND destination.port : 80)
- Ergebnis: Alle HTTP-Zugriffe, sowohl IDS-Warnungen als auch Firewall-Entscheidungen.
- Teilnehmer sehen den Zusammenhang: IDS meldet, Firewall blockt oder erlaubt.
Bonus: Erste Visualisierung
- Wechsel zu Visualize.
- Balkendiagramm erstellen:
- X-Achse: @timestamp - Y-Achse: Anzahl Events - Split: event.dataset
- Ergebnis: Zeitliche Entwicklung von Firewall- und Suricata-Events im Vergleich.