Aktuelle Version vom 3. Juli 2025, 08:47 Uhr

EveBox als Weboberfläche für Suricata (Lokal mit SQLite)

Ziel

Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
Kein Elasticsearch, keine externe DB – rein lokal
Liest direkt die Datei /var/log/suricata/eve.json

Voraussetzung - Suricata-Konfiguration für eve.json aktivieren

vi /etc/suricata/suricata.yaml

...
outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: eve.json
      types:
        - alert
        - http
        - dns
        - tls
        - flow
        - ssh
        - stats

Suricata danach neu starten:

systemctl restart suricata
oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml

Installation

sudo apt-get install curl
curl -fsSL https://evebox.org/files/GPG-KEY-evebox -o /etc/apt/keyrings/evebox.asc
echo "deb [signed-by=/etc/apt/keyrings/evebox.asc] https://evebox.org/files/debian stable main" | sudo tee /etc/apt/sources.list.d/evebox.list
sudo apt update
sudo apt install evebox

Start

evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json

Das Passwort sieht man beim ersten Start

- User: admin
- Pass: pXbfPQqWAw9S

Oder hinter

journalctl -u evebox -g admin

Eigner Service

vi /etc/systemd/system/evebox.service

# /etc/systemd/system/evebox.service
[Unit]
Description=EveBox Webinterface
After=network.target

[Service]
ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
Restart=always

[Install]
WantedBy=multi-user.target

Danach

systemctl daemon-reexec
systemctl enable --now evebox

Zugriff

Weboberfläche im Browser öffnen: https://<IP>:5636

@@ Zeile 1: / Zeile 1: @@
-=EveBox als Weboberfläche für Suricata (Docker, lokal mit SQLite)=
+=EveBox als Weboberfläche für Suricata (Lokal mit SQLite)=
-;Ziel
+=Ziel=
 *Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
-*Kein Elasticsearch, keine externe DB – rein lokal via Docker
+*Kein Elasticsearch, keine externe DB – rein lokal
 *Liest direkt die Datei /var/log/suricata/eve.json
+=Voraussetzung - Suricata-Konfiguration für eve.json aktivieren=
+*vi /etc/suricata/suricata.yaml
+<pre>
+...
+outputs:
+  - eve-log:
+      enabled: yes
+      filetype: regular
+      filename: eve.json
+      types:
+        - alert
+        - http
+        - dns
+        - tls
+        - flow
+        - ssh
+        - stats
+</pre>
+Suricata danach neu starten:
+*systemctl restart suricata
+*oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
 =Installation=
@@ Zeile 10: / Zeile 35: @@
 *curl -fsSL https://evebox.org/files/GPG-KEY-evebox -o /etc/apt/keyrings/evebox.asc
 *echo "deb [signed-by=/etc/apt/keyrings/evebox.asc] https://evebox.org/files/debian stable main" | sudo tee /etc/apt/sources.list.d/evebox.list
-*sudo apt-get update
+*sudo apt update
-*sudo apt-get install evebox
+*sudo apt install evebox
 =Start=
@@ Zeile 18: / Zeile 43: @@
 **User: admin
 **Pass: pXbfPQqWAw9S
+;Oder hinter
+*journalctl -u evebox -g admin
 =Eigner Service=
 *vi /etc/systemd/system/evebox.service
@@ Zeile 38: / Zeile 66: @@
 =Zugriff=
-*Weboberfläche im Browser öffnen: https://localhost:5636
+*Weboberfläche im Browser öffnen: https://<IP>:5636
+[[Kategorie:Suricata]]
-=Suricata-Konfiguration für eve.json aktivieren=
+[[Kategorie:Cybersecurity]]
-*/etc/suricata/suricata.yaml*
+[[Kategorie:Firewall]]
-outputs:
-  - eve-log:
-      enabled: yes
-      filetype: regular
-      filename: eve.json
-      types:
-        - alert
-        - http
-        - dns
-        - tls
-        - flow
-        - ssh
-        - stats
-*Suricata danach neu starten:
-*systemctl restart suricata
-*oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml

EveBox: Unterschied zwischen den Versionen

Aktuelle Version vom 3. Juli 2025, 08:47 Uhr

Inhaltsverzeichnis

EveBox als Weboberfläche für Suricata (Lokal mit SQLite)

Ziel

Voraussetzung - Suricata-Konfiguration für eve.json aktivieren

Installation

Start

Eigner Service

Danach

Zugriff

Navigationsmenü

Suche