pfSense에 있는 suricata의 alert log를 elastic stack으로 모니터링하기

pfSense에 있는 suricata의 alert log를 elastic stack으로 모니터링하기

suricata + elastic stack

Logstash Kibana and Suricata JSON output

Suricata 2.0rc1와 Kibana 3 버전을 이용한 방식

suricata에서 eve.json 파일로 로그를 남기도록 설정한다.

logstash에서 eve.json 파일을 json codec 으로 읽어들인다

Suricata + ELK5 + KTS5

suricata에서 eve.json 파일로 로그를 남기도록 설정한다.

filebeat를 설치하여 eve.json 파일을 logstash로 전송한다.

pfsense + suricata + elastic stack

pfsense는 OS가 BSD 기반입니다. elastic이 공식적으로 BSD를 지원하고 있지 않아서 filebeat나 logstash를 이용할 수 없습니다.

Elasticstack (ELK), Suricata and pfSense Firewall

filebeat를 BSD로 포팅하여 사용하는 방법

filebeat 가 버전업이 될 때마다 포팅해서 사용하기 귀찮습니다.  

pf (Firewall logs w/Suricata) + Elasticsearch + Logstash + Kibana

suricata이 log를 pfsense system log로 저장하게 하고 system log를 syslog로 전송하는 방법

간단하지만 방화벽 로그와 IDS 로그가 섞여 있어서 깔끔(?)하지 않습니다.

그렇다면 대안은 무엇일까요?

suricata의 로그를 방화벽 로그와 통합하지 않고 자체적으로 syslog로 전송

suricata의 로그를 redis로 전송