nikolayvaganov Mar 24 2017 at 10:40

Визуализация атак на базе ELK (elasticsearch, kibana, logstash)

6 min

23K

*nix*Server Administration*

+19

Comments 6

askl Mar 24 2017 at 11:43

Как раз несколько недель назад был на DevSecCon, где делали что-то сильно похожее на воркшопе. Кому интересно все материалы тут.

ayurtaykin Mar 25 2017 at 09:30

Ожидал увидеть проект Amsterdam (https://github.com/StamusNetworks/Amsterdam) или аналог, а тут сбор SSH логов :)))

nikolayvaganov Mar 27 2017 at 08:06

Хорошо, когда есть возможность слушать трафик до хоста, либо с хоста перенаправлять трафик, но бывают случаи, когда это сделать невозможно. Тем более, что сбор логов с хостов и так есть.

Thund3rHabr Jun 6 2017 at 22:30

Спасибо за хорошее описание!
Немного не понял по файлам Docker-a… elastik:, kibana:, logstash: это части одного файла docker-compose.yml?
Или создаются /srv/docker/elastic/elastik.yml, /srv/docker/kibana/kibana.yml и т.д.?

nikolayvaganov Jun 7 2017 at 06:06

Можете для удобства их кинуть в один файл docker-compose.yml и просто пускать все сервисы одной командой — docker-compose up -d

Thund3rHabr Jun 7 2017 at 17:28

Спасибо! Еще немного не понятно с полем geoip.country_name, при discovery этого поля нет. Вы подключали какие-то модули?