ℹ️本記事は古いコンテンツを変換して表示しています。
表示が崩れたり、リンクが正しくない可能性があります。ご了承ください。
2016/01/02 11:01 : elasticsearch/logstash/suricata/kibanaで遊ぶ
Javaを使うモノがあるので起動がやや重い問題があるかと思いきや、そもそもsnortもルール読み込みがバカみたいに重たいので、大して差はなかったというオチもついた。
Javaを使うモノがあるので起動がやや重い問題があるかと思いきや、そもそもsnortもルール読み込みがバカみたいに重たいので、大して差はなかったというオチもついた。
FreeBSDでもpkg installで全部揃うので楽ちん。リッチなGUIがついたアプリはFreeBSD ports/pkgに少ない印象があったけど、Java実装だったり、サーバの監視に使ったりする関係なのかな。FreeBSD依存の話はほとんどない(と思う)ので、それぞれのマニュアルを読みながら適当にやればできる。
- suricataにはdivert port 8000経由で食わせる。/etc/rc.firewallに
divert 8000 ip from ... to ...というようなルールを追加する。注意が必要なのは、divertに食われたパケットは帰ってこないということ。インタフェース1本でany to anyなんてしようものなら、sshの接続ごともっていかれる。pcap(tcpdump)経由もできそうだけど見てない。 - logstashの設定をたくさん書きたければ、rc.confでconfig設定をファイルからディレクトリ指定に変えてしまおう。
logstash_config="/usr/local/etc/logstash/conf.d"
[alraune:~] root# zfs get compression,referenced,logicalused,compressratio sakura/elasticsearch NAME PROPERTY VALUE SOURCE sakura/elasticsearch compression gzip-4 local sakura/elasticsearch referenced 1.02G - sakura/elasticsearch logicalused 2.40G - sakura/elasticsearch compressratio 2.32x -
FTP invalid MODEに注意。マッチ条件が/^MODE\s+[^ABSC]{1}/msiだけなので、ircのMODEに引っかかる。きっとほかにも引っかかる。我が家はFTPは使わないのでルールごとsuppress。