EveBox: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=EveBox als Weboberfläche für Suricata (Docker, lokal mit SQLite)=
+
=EveBox als Weboberfläche für Suricata (Lokal mit SQLite)=
  
;Ziel
+
 
 +
 
 +
 
 +
=Ziel=
 
*Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
 
*Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
*Kein Elasticsearch, keine externe DB – rein lokal via Docker
+
*Kein Elasticsearch, keine externe DB – rein lokal  
 
*Liest direkt die Datei /var/log/suricata/eve.json
 
*Liest direkt die Datei /var/log/suricata/eve.json
 +
 +
=Voraussetzung - Suricata-Konfiguration für eve.json aktivieren=
 +
'''!!!Dies haben wir schon gemacht!!!'''
 +
*vi /etc/suricata/suricata.yaml
 +
<pre>
 +
...
 +
outputs:
 +
  - eve-log:
 +
      enabled: yes
 +
      filetype: regular
 +
      filename: eve.json
 +
      types:
 +
        - alert
 +
        - drop 
 +
        - http
 +
        - dns
 +
        - tls
 +
        - flow
 +
        - ssh
 +
        - stats
 +
</pre>
 +
Suricata danach neu starten:
 +
*systemctl restart suricata
 +
*oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
  
 
=Installation=
 
=Installation=
*sudo apt-get install curl
+
;Eventuell ist eine neuere Version dort - Nachgucken und neustes Debina Paket runter laden
*curl -fsSL https://evebox.org/files/GPG-KEY-evebox -o /etc/apt/keyrings/evebox.asc
+
*https://evebox.org/files/debian/pool/main/e/evebox/
*echo "deb [signed-by=/etc/apt/keyrings/evebox.asc] https://evebox.org/files/debian stable main" | sudo tee /etc/apt/sources.list.d/evebox.list
+
*apt install ./evebox_0.*.deb
*sudo apt-get update
 
*sudo apt-get install evebox
 
  
 
=Start=
 
=Start=
Zeile 18: Zeile 43:
 
**User: admin
 
**User: admin
 
**Pass: pXbfPQqWAw9S
 
**Pass: pXbfPQqWAw9S
 +
;Oder hinter
 +
*journalctl -u evebox -g admin
 +
=Firewall anpassen in der Inputkette=
 +
;/etc/nftables.conf
 +
ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept
 +
*nft -f /etc/nftables.conf
 +
 
=Eigner Service=
 
=Eigner Service=
 
*vi /etc/systemd/system/evebox.service
 
*vi /etc/systemd/system/evebox.service
Zeile 33: Zeile 65:
 
WantedBy=multi-user.target
 
WantedBy=multi-user.target
 
</pre>
 
</pre>
 +
=Passwort ändern=
 +
*evebox config users passwd admin
 
=Danach=
 
=Danach=
 
*systemctl daemon-reexec
 
*systemctl daemon-reexec
 
*systemctl enable --now evebox
 
*systemctl enable --now evebox
 +
 +
=Kontrolle=
 +
*ss -lntp | grep 5636
  
 
=Zugriff=
 
=Zugriff=
*Weboberfläche im Browser öffnen: https://localhost:5636
+
;Vom Client aus
 
+
*Weboberfläche im Browser öffnen: https://fw.it2XX.int:5636
=Suricata-Konfiguration für eve.json aktivieren=
+
[[Kategorie:Suricata]]
*/etc/suricata/suricata.yaml*
+
[[Kategorie:Cybersecurity]]
outputs:
+
[[Kategorie:Firewall]]
  - eve-log:
 
      enabled: yes
 
      filetype: regular
 
      filename: eve.json
 
      types:
 
        - alert
 
        - http
 
        - dns
 
        - tls
 
        - flow
 
        - ssh
 
        - stats
 
 
 
*Suricata danach neu starten:
 
*systemctl restart suricata
 
*oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
 

Aktuelle Version vom 12. Mai 2026, 12:00 Uhr

EveBox als Weboberfläche für Suricata (Lokal mit SQLite)

Ziel

  • Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
  • Kein Elasticsearch, keine externe DB – rein lokal
  • Liest direkt die Datei /var/log/suricata/eve.json

Voraussetzung - Suricata-Konfiguration für eve.json aktivieren

!!!Dies haben wir schon gemacht!!!

  • vi /etc/suricata/suricata.yaml
...
outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: eve.json
      types:
        - alert
        - drop  
        - http
        - dns
        - tls
        - flow
        - ssh
        - stats

Suricata danach neu starten:

  • systemctl restart suricata
  • oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml

Installation

Eventuell ist eine neuere Version dort - Nachgucken und neustes Debina Paket runter laden

Start

  • evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
Das Passwort sieht man beim ersten Start
    • User: admin
    • Pass: pXbfPQqWAw9S
Oder hinter
  • journalctl -u evebox -g admin

Firewall anpassen in der Inputkette

/etc/nftables.conf
ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept
  • nft -f /etc/nftables.conf

Eigner Service

  • vi /etc/systemd/system/evebox.service
# /etc/systemd/system/evebox.service
[Unit]
Description=EveBox Webinterface
After=network.target

[Service]
ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
Restart=always

[Install]
WantedBy=multi-user.target

Passwort ändern

  • evebox config users passwd admin

Danach

  • systemctl daemon-reexec
  • systemctl enable --now evebox

Kontrolle

  • ss -lntp | grep 5636

Zugriff

Vom Client aus
Abgerufen von „http://wiki.ixheim.de/index.php?title=EveBox&oldid=69954