Aktuelle Version vom 12. Mai 2026, 12:00 Uhr

EveBox als Weboberfläche für Suricata (Lokal mit SQLite)

Ziel

Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
Kein Elasticsearch, keine externe DB – rein lokal
Liest direkt die Datei /var/log/suricata/eve.json

Voraussetzung - Suricata-Konfiguration für eve.json aktivieren

!!!Dies haben wir schon gemacht!!!

vi /etc/suricata/suricata.yaml

...
outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: eve.json
      types:
        - alert
        - drop  
        - http
        - dns
        - tls
        - flow
        - ssh
        - stats

Suricata danach neu starten:

systemctl restart suricata
oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml

Installation

Eventuell ist eine neuere Version dort - Nachgucken und neustes Debina Paket runter laden

https://evebox.org/files/debian/pool/main/e/evebox/
apt install ./evebox_0.*.deb

Start

evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json

Das Passwort sieht man beim ersten Start

- User: admin
- Pass: pXbfPQqWAw9S

Oder hinter

journalctl -u evebox -g admin

Firewall anpassen in der Inputkette

/etc/nftables.conf

ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept

nft -f /etc/nftables.conf

Eigner Service

vi /etc/systemd/system/evebox.service

# /etc/systemd/system/evebox.service
[Unit]
Description=EveBox Webinterface
After=network.target

[Service]
ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
Restart=always

[Install]
WantedBy=multi-user.target

Passwort ändern

evebox config users passwd admin

Danach

systemctl daemon-reexec
systemctl enable --now evebox

Kontrolle

ss -lntp | grep 5636

Zugriff

Vom Client aus

Weboberfläche im Browser öffnen: https://fw.it2XX.int:5636

@@ Zeile 10: / Zeile 10: @@
 =Voraussetzung - Suricata-Konfiguration für eve.json aktivieren=
-*vi /etc/suricata/suricata.yaml*
+'''!!!Dies haben wir schon gemacht!!!'''
+*vi /etc/suricata/suricata.yaml
 <pre>
 ...
@@ Zeile 20: / Zeile 21: @@
        types:
          - alert
+        - drop
          - http
          - dns
@@ Zeile 30: / Zeile 32: @@
 *systemctl restart suricata
 *oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
 =Installation=
-*sudo apt-get install curl
+;Eventuell ist eine neuere Version dort - Nachgucken und neustes Debina Paket runter laden
-*curl -fsSL https://evebox.org/files/GPG-KEY-evebox -o /etc/apt/keyrings/evebox.asc
+*https://evebox.org/files/debian/pool/main/e/evebox/
-*echo "deb [signed-by=/etc/apt/keyrings/evebox.asc] https://evebox.org/files/debian stable main" | sudo tee /etc/apt/sources.list.d/evebox.list
+*apt install ./evebox_0.*.deb
-*sudo apt-get update
-*sudo apt-get install evebox
 =Start=
@@ Zeile 42: / Zeile 43: @@
 **User: admin
 **Pass: pXbfPQqWAw9S
+;Oder hinter
+*journalctl -u evebox -g admin
+=Firewall anpassen in der Inputkette=
+;/etc/nftables.conf
+ ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept
+*nft -f /etc/nftables.conf
 =Eigner Service=
 *vi /etc/systemd/system/evebox.service
@@ Zeile 57: / Zeile 65: @@
 WantedBy=multi-user.target
 </pre>
+=Passwort ändern=
+*evebox config users passwd admin
 =Danach=
 *systemctl daemon-reexec
 *systemctl enable --now evebox
+=Kontrolle=
+*ss -lntp | grep 5636
 =Zugriff=
-*Weboberfläche im Browser öffnen: https://<IP>:5636
+;Vom Client aus
+*Weboberfläche im Browser öffnen: https://fw.it2XX.int:5636
 [[Kategorie:Suricata]]
 [[Kategorie:Cybersecurity]]
 [[Kategorie:Firewall]]

EveBox: Unterschied zwischen den Versionen

Aktuelle Version vom 12. Mai 2026, 12:00 Uhr

Inhaltsverzeichnis

EveBox als Weboberfläche für Suricata (Lokal mit SQLite)

Ziel

Voraussetzung - Suricata-Konfiguration für eve.json aktivieren

Installation

Start

Firewall anpassen in der Inputkette

Eigner Service

Passwort ändern

Danach

Kontrolle

Zugriff

Navigationsmenü

Suche