EveBox: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 36: | Zeile 36: | ||
;Eventuell ist eine neuere Version dort - Nachgucken | ;Eventuell ist eine neuere Version dort - Nachgucken | ||
*wget https://evebox.org/files/debian/pool/main/e/evebox/evebox_0.23.0_amd64.deb | *wget https://evebox.org/files/debian/pool/main/e/evebox/evebox_0.23.0_amd64.deb | ||
| − | *apt install ./evebox_0. | + | *apt install ./evebox_0.*.deb |
=Start= | =Start= | ||
Version vom 29. April 2026, 13:52 Uhr
EveBox als Weboberfläche für Suricata (Lokal mit SQLite)
Ziel
- Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
- Kein Elasticsearch, keine externe DB – rein lokal
- Liest direkt die Datei /var/log/suricata/eve.json
Voraussetzung - Suricata-Konfiguration für eve.json aktivieren
!!!Dies haben wir schon gemacht!!!
- vi /etc/suricata/suricata.yaml
...
outputs:
- eve-log:
enabled: yes
filetype: regular
filename: eve.json
types:
- alert
- drop
- http
- dns
- tls
- flow
- ssh
- stats
Suricata danach neu starten:
- systemctl restart suricata
- oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
Installation
- Eventuell ist eine neuere Version dort - Nachgucken
- wget https://evebox.org/files/debian/pool/main/e/evebox/evebox_0.23.0_amd64.deb
- apt install ./evebox_0.*.deb
Start
- evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
- Das Passwort sieht man beim ersten Start
- User: admin
- Pass: pXbfPQqWAw9S
- Oder hinter
- journalctl -u evebox -g admin
Eigner Service
- vi /etc/systemd/system/evebox.service
# /etc/systemd/system/evebox.service [Unit] Description=EveBox Webinterface After=network.target [Service] ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json Restart=always [Install] WantedBy=multi-user.target
Danach
- systemctl daemon-reexec
- systemctl enable --now evebox
Zugriff
- Weboberfläche im Browser öffnen: https://<IP>:5636