EveBox: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(26 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=EveBox als Weboberfläche für Suricata (Docker, lokal mit SQLite)=
+
=EveBox als Weboberfläche für Suricata (Lokal mit SQLite)=
  
;Ziel
+
 
 +
 
 +
 
 +
=Ziel=
 
*Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
 
*Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
*Kein Elasticsearch, keine externe DB – rein lokal via Docker
+
*Kein Elasticsearch, keine externe DB – rein lokal  
 
*Liest direkt die Datei /var/log/suricata/eve.json
 
*Liest direkt die Datei /var/log/suricata/eve.json
  
=Voraussetzungen=
+
=Voraussetzung - Suricata-Konfiguration für eve.json aktivieren=
*Suricata muss im eve.json-Format loggen (siehe unten)
+
'''!!!Dies haben wir schon gemacht!!!'''
*apt install docker.io docker-compose
+
*vi /etc/suricata/suricata.yaml
 
 
=Konfiguration=
 
 
 
*vi /opt/evebox/docker-compose.yml*
 
 
<pre>
 
<pre>
version: "3.8"
+
...
 
 
services:
 
  evebox:
 
    image: jasonish/evebox:latest
 
    container_name: evebox
 
    restart: unless-stopped
 
    volumes:
 
      - /var/log/suricata:/var/log/suricata:ro
 
    ports:
 
      - "5636:5636"
 
    command: ["evebox", "server", "--datastore", "sqlite", "--input", "/var/log/suricata/eve.json"]
 
</pre>
 
 
 
=Start=
 
*cd /opt/evebox
 
*docker compose up -d
 
 
 
=Zugriff=
 
*Weboberfläche im Browser öffnen: http://localhost:5636
 
 
 
=Suricata-Konfiguration für eve.json aktivieren=
 
*/etc/suricata/suricata.yaml*
 
 
outputs:
 
outputs:
 
   - eve-log:
 
   - eve-log:
Zeile 44: Zeile 21:
 
       types:
 
       types:
 
         - alert
 
         - alert
 +
        - drop 
 
         - http
 
         - http
 
         - dns
 
         - dns
Zeile 50: Zeile 28:
 
         - ssh
 
         - ssh
 
         - stats
 
         - stats
 
+
</pre>
*Suricata danach neu starten:
+
Suricata danach neu starten:
 
*systemctl restart suricata
 
*systemctl restart suricata
 
*oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
 
*oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
 +
 +
=Installation=
 +
;Eventuell ist eine neuere Version dort - Nachgucken und neustes Debina Paket runter laden
 +
*https://evebox.org/files/debian/pool/main/e/evebox/
 +
*apt install ./evebox_0.*.deb
 +
 +
=Start=
 +
*evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
 +
;Das Passwort sieht man beim ersten Start
 +
**User: admin
 +
**Pass: pXbfPQqWAw9S
 +
;Oder hinter
 +
*journalctl -u evebox -g admin
 +
=Firewall anpassen in der Inputkette=
 +
;/etc/nftables.conf
 +
ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept
 +
*nft -f /etc/nftables.conf
 +
 +
=Eigner Service=
 +
*vi /etc/systemd/system/evebox.service
 +
<pre>
 +
# /etc/systemd/system/evebox.service
 +
[Unit]
 +
Description=EveBox Webinterface
 +
After=network.target
 +
 +
[Service]
 +
ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
 +
Restart=always
 +
 +
[Install]
 +
WantedBy=multi-user.target
 +
</pre>
 +
=Passwort ändern=
 +
*evebox config users passwd admin
 +
=Danach=
 +
*systemctl daemon-reexec
 +
*systemctl enable --now evebox
 +
 +
=Kontrolle=
 +
*ss -lntp | grep 5636
 +
 +
=Zugriff=
 +
;Vom Client aus
 +
*Weboberfläche im Browser öffnen: https://fw.it2XX.int:5636
 +
[[Kategorie:Suricata]]
 +
[[Kategorie:Cybersecurity]]
 +
[[Kategorie:Firewall]]

Aktuelle Version vom 12. Mai 2026, 12:00 Uhr

EveBox als Weboberfläche für Suricata (Lokal mit SQLite)

Ziel

  • Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
  • Kein Elasticsearch, keine externe DB – rein lokal
  • Liest direkt die Datei /var/log/suricata/eve.json

Voraussetzung - Suricata-Konfiguration für eve.json aktivieren

!!!Dies haben wir schon gemacht!!!

  • vi /etc/suricata/suricata.yaml
...
outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: eve.json
      types:
        - alert
        - drop  
        - http
        - dns
        - tls
        - flow
        - ssh
        - stats

Suricata danach neu starten:

  • systemctl restart suricata
  • oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml

Installation

Eventuell ist eine neuere Version dort - Nachgucken und neustes Debina Paket runter laden

Start

  • evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
Das Passwort sieht man beim ersten Start
    • User: admin
    • Pass: pXbfPQqWAw9S
Oder hinter
  • journalctl -u evebox -g admin

Firewall anpassen in der Inputkette

/etc/nftables.conf
ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept
  • nft -f /etc/nftables.conf

Eigner Service

  • vi /etc/systemd/system/evebox.service
# /etc/systemd/system/evebox.service
[Unit]
Description=EveBox Webinterface
After=network.target

[Service]
ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
Restart=always

[Install]
WantedBy=multi-user.target

Passwort ändern

  • evebox config users passwd admin

Danach

  • systemctl daemon-reexec
  • systemctl enable --now evebox

Kontrolle

  • ss -lntp | grep 5636

Zugriff

Vom Client aus
Abgerufen von „http://wiki.ixheim.de/index.php?title=EveBox&oldid=69954