EveBox: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→Danach) |
|||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 45: | Zeile 45: | ||
;Oder hinter | ;Oder hinter | ||
*journalctl -u evebox -g admin | *journalctl -u evebox -g admin | ||
| + | =Firewall anpassen in der Inputkette= | ||
| + | ;/etc/nftables.conf | ||
| + | ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept | ||
| + | *nft -f /etc/nftables.conf | ||
=Eigner Service= | =Eigner Service= | ||
| Zeile 61: | Zeile 65: | ||
WantedBy=multi-user.target | WantedBy=multi-user.target | ||
</pre> | </pre> | ||
| + | =Passwort ändern= | ||
| + | *evebox config users passwd admin | ||
=Danach= | =Danach= | ||
*systemctl daemon-reexec | *systemctl daemon-reexec | ||
*systemctl enable --now evebox | *systemctl enable --now evebox | ||
| + | |||
| + | =Kontrolle= | ||
| + | *ss -lntp | grep 5636 | ||
=Zugriff= | =Zugriff= | ||
| − | *Weboberfläche im Browser öffnen: https:// | + | ;Vom Client aus |
| + | *Weboberfläche im Browser öffnen: https://fw.it2XX.int:5636 | ||
[[Kategorie:Suricata]] | [[Kategorie:Suricata]] | ||
[[Kategorie:Cybersecurity]] | [[Kategorie:Cybersecurity]] | ||
[[Kategorie:Firewall]] | [[Kategorie:Firewall]] | ||
Aktuelle Version vom 12. Mai 2026, 12:00 Uhr
EveBox als Weboberfläche für Suricata (Lokal mit SQLite)
Ziel
- Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
- Kein Elasticsearch, keine externe DB – rein lokal
- Liest direkt die Datei /var/log/suricata/eve.json
Voraussetzung - Suricata-Konfiguration für eve.json aktivieren
!!!Dies haben wir schon gemacht!!!
- vi /etc/suricata/suricata.yaml
...
outputs:
- eve-log:
enabled: yes
filetype: regular
filename: eve.json
types:
- alert
- drop
- http
- dns
- tls
- flow
- ssh
- stats
Suricata danach neu starten:
- systemctl restart suricata
- oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml
Installation
- Eventuell ist eine neuere Version dort - Nachgucken und neustes Debina Paket runter laden
- https://evebox.org/files/debian/pool/main/e/evebox/
- apt install ./evebox_0.*.deb
Start
- evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json
- Das Passwort sieht man beim ersten Start
- User: admin
- Pass: pXbfPQqWAw9S
- Oder hinter
- journalctl -u evebox -g admin
Firewall anpassen in der Inputkette
- /etc/nftables.conf
ct state new iif $LANDEV ip saddr $LAN tcp dport 5636 accept
- nft -f /etc/nftables.conf
Eigner Service
- vi /etc/systemd/system/evebox.service
# /etc/systemd/system/evebox.service [Unit] Description=EveBox Webinterface After=network.target [Service] ExecStart=/usr/bin/evebox server --host 0.0.0.0 --datastore sqlite --input /var/log/suricata/eve.json Restart=always [Install] WantedBy=multi-user.target
Passwort ändern
- evebox config users passwd admin
Danach
- systemctl daemon-reexec
- systemctl enable --now evebox
Kontrolle
- ss -lntp | grep 5636
Zugriff
- Vom Client aus
- Weboberfläche im Browser öffnen: https://fw.it2XX.int:5636