EveBox
Version vom 24. April 2025, 17:34 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=EveBox als Weboberfläche für Suricata (Docker, lokal mit SQLite)= ;Ziel *Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser *Kein Elasticse…“)
EveBox als Weboberfläche für Suricata (Docker, lokal mit SQLite)
- Ziel
- Einfache grafische Oberfläche für Suricata-Alerts via Webbrowser
- Kein Elasticsearch, keine externe DB – rein lokal via Docker
- Liest direkt die Datei /var/log/suricata/eve.json
Voraussetzungen
- Suricata muss im eve.json-Format loggen (siehe unten)
- Docker & Docker Compose installiert
Konfiguration
- /opt/evebox/docker-compose.yml*
version: "3.8"
services:
evebox:
image: jasonish/evebox:latest
container_name: evebox
restart: unless-stopped
volumes:
- /var/log/suricata:/var/log/suricata:ro
ports:
- "5636:5636"
command: ["evebox", "server", "--datastore", "sqlite", "--input", "/var/log/suricata/eve.json"]
Start
- cd /opt/evebox
- docker compose up -d
Zugriff
- Weboberfläche im Browser öffnen: http://localhost:5636
Suricata-Konfiguration für eve.json aktivieren
- /etc/suricata/suricata.yaml*
outputs:
- eve-log:
enabled: yes
filetype: regular
filename: eve.json
types:
- alert
- http
- dns
- tls
- flow
- ssh
- stats
- Suricata danach neu starten:
- systemctl restart suricata
- oder: suricata -D -q 0 -c /etc/suricata/suricata.yaml