nikolayvaganov24 мар 2017 в 07:40

Визуализация атак на базе ELK (elasticsearch, kibana, logstash)

6 мин

24K

*nix * Серверное администрирование *

+16

Комментарии 6

askl 24 мар 2017 в 08:43

Как раз несколько недель назад был на DevSecCon, где делали что-то сильно похожее на воркшопе. Кому интересно все материалы тут.

ayurtaykin 25 мар 2017 в 06:30

Ожидал увидеть проект Amsterdam (https://github.com/StamusNetworks/Amsterdam) или аналог, а тут сбор SSH логов :)))

nikolayvaganov 27 мар 2017 в 05:06

Хорошо, когда есть возможность слушать трафик до хоста, либо с хоста перенаправлять трафик, но бывают случаи, когда это сделать невозможно. Тем более, что сбор логов с хостов и так есть.

Thund3rHabr 6 июн 2017 в 19:30

Спасибо за хорошее описание!
Немного не понял по файлам Docker-a… elastik:, kibana:, logstash: это части одного файла docker-compose.yml?
Или создаются /srv/docker/elastic/elastik.yml, /srv/docker/kibana/kibana.yml и т.д.?

nikolayvaganov 7 июн 2017 в 03:06

Можете для удобства их кинуть в один файл docker-compose.yml и просто пускать все сервисы одной командой — docker-compose up -d

Thund3rHabr 7 июн 2017 в 14:28

Спасибо! Еще немного не понятно с полем geoip.country_name, при discovery этого поля нет. Вы подключали какие-то модули?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий