EveBox: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 12: | Zeile 12: | ||
=Konfiguration= | =Konfiguration= | ||
| − | */opt/evebox/docker-compose.yml* | + | *vi /opt/evebox/docker-compose.yml* |
| + | <pre> | ||
version: "3.8" | version: "3.8" | ||
| Zeile 25: | Zeile 26: | ||
- "5636:5636" | - "5636:5636" | ||
command: ["evebox", "server", "--datastore", "sqlite", "--input", "/var/log/suricata/eve.json"] | command: ["evebox", "server", "--datastore", "sqlite", "--input", "/var/log/suricata/eve.json"] | ||
| + | </pre> | ||
=Start= | =Start= | ||
Version vom 24. April 2025, 17:36 Uhr
EveBox als Weboberfläche für Suricata (Docker, lokal mit SQLite)
- Ziel
- Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
- Kein Elasticsearch, keine externe DB – rein lokal via Docker
- Liest direkt die Datei /var/log/suricata/eve.json
Voraussetzungen
- Suricata muss im eve.json-Format loggen (siehe unten)
- apt install docker.io docker-compose
Konfiguration
- vi /opt/evebox/docker-compose.yml*
version: "3.8"
services:
evebox:
image: jasonish/evebox:latest
container_name: evebox
restart: unless-stopped
volumes:
- /var/log/suricata:/var/log/suricata:ro
ports:
- "5636:5636"
command: ["evebox", "server", "--datastore", "sqlite", "--input", "/var/log/suricata/eve.json"]
Start
- cd /opt/evebox
- docker compose up -d
Zugriff
- Weboberfläche im Browser öffnen: http://localhost:5636
Suricata-Konfiguration für eve.json aktivieren
- /etc/suricata/suricata.yaml*
outputs:
- eve-log:
enabled: yes
filetype: regular
filename: eve.json
types:
- alert
- http
- dns
- tls
- flow
- ssh
- stats
- Suricata danach neu starten:
- systemctl restart suricata
- oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml