선수로 산다, 때론 좋은 코치로

suricata의 로그를 kibana로 모니터링하기 kibana로 모니터링하기 위해서는 데이터를 elasticsearch에 넣어야 한다. elasticsearch에 데이터를 넣으려면 logstash나 filebeat를 이용하면 되는데, pfSense에 포함된 suricata를 이용하면 logstash나 filebeat를 이용하기 어렵다. 어려운 이유는 pfSense에 있는 suricata의 alert log를 elastic stack으로 모니터링하기를 참고하기 바란다. suricata는 redis에 로그를 전송할 수 있다. 따라서 suricata + redis + logstash + elasticsearch + kibana 로 연결이 가능하다. suricata 설정(suricata.yaml) ...더보기..

pfSense에 있는 suricata의 alert log를 elastic stack으로 모니터링하기suricata + elastic stackLogstash Kibana and Suricata JSON outputSuricata 2.0rc1와 Kibana 3 버전을 이용한 방식suricata에서 eve.json 파일로 로그를 남기도록 설정한다.logstash에서 eve.json 파일을 json codec 으로 읽어들인다 Suricata + ELK5 + KTS5suricata에서 eve.json 파일로 로그를 남기도록 설정한다.filebeat를 설치하여 eve.json 파일을 logstash로 전송한다. pfsense + suricata + elastic stackpfsense는 OS가 BSD 기반입니다...

logstash 6.2.3 + java 10 오류elastic이 6.2.3으로 업데이트되었습니다.java 10도 릴리즈 되었습니다.elastic에서 최근에 java 9을 지원했기 때문에 java 10도 지원될 수도 있겠다고 생각해서 설치했습니다.수정: elasticsearch-6.2.3은 java 9를 지원하지만 logstash-6.2.3은 지원하지 않습니다.java 9를 설치한 후에 logstash-6.2.3을 실행하면 아래와 같은 에러가 발생합니다. 정상적인 에러입니다. 이렇게 에러가 발생했다면 오류라고 생각하지 않았을테고, 아래와 같은 여러 시도를 하지 않았을겁니다. 아래 내용은 logstash-6.2.3과 java 9에서 정상적으로 동작하지 않아서 직접 테스트하면서 기록한 내용입니다. 그런데 삽질..

[elastic] 업그레이드 방법 - rolling upgrade elastic stack 6.2가 릴리즈됐습니다. 바로 6.2.1로 업그레이드 되었습니다.https://www.elastic.co/blog/elastic-stack-6-2-0-releasedhttps://www.elastic.co/blog/elasticsearch-6-2-1-released SAML Support - single sign onAudit FilteringSearch Quality and the New Ranking Evaluation APIWell Known Text Support Better Programmatic Access to the Task ManagerJava 9 Support 기존에 사용하던 6.0을 6.2로 업..