ELK Übungen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 5: | Zeile 5: | ||
== Suricata-Events == | == Suricata-Events == | ||
* Filtere in Discover alle Suricata-Events. | * Filtere in Discover alle Suricata-Events. | ||
| − | <!-- Lösung: | + | <!-- Lösung: In Discover das Data View *-pfelk-suricata* auswählen. |
| + | Dadurch werden automatisch nur Suricata-Events angezeigt. | ||
| + | Zusätzlich wichtige Felder einblenden (source.ip, destination.ip, destination.port, rule.description, event.severity), | ||
| + | um Angriffe und Warnungen im Detail zu sehen. --> | ||
== SSH-Zugriffe == | == SSH-Zugriffe == | ||
Aktuelle Version vom 14. September 2025, 12:17 Uhr
Zeitfilter
- Stelle in Kibana Discover die Zeitspanne auf Last 7 days.
Suricata-Events
- Filtere in Discover alle Suricata-Events.
SSH-Zugriffe
- Zeige alle Suricata-Events, die Port 22 betreffen.
Firewall-Blocks
- Filtere alle Firewall-Events mit geblockten Aktionen.
IDS und Firewall zusammen
- Zeige alle HTTP-Zugriffe (Port 80), egal ob von Suricata oder Firewall geloggt.
Top Talker
- Finde die häufigsten Quell-IPs in Suricata-Events.
Zeitliche Entwicklung
- Stelle die Anzahl Suricata-Events über Zeit dar.
Unknown-Events
- Finde heraus, welche Events im Index logs-pfelk-unknown-* liegen.