基于Suricata与ELK的网络流量检测

1.准备工作

这里两台虚拟机都是采用的ubuntu22.04版本

虚拟机IP	安装环境
192.168.17.143	ELK
192.168.17.142	suricata与filebeat

2.安装ELK

2.1 docker网络代理

第一步很重要，要不然docker镜像拉取不下来，自行问ai或者查阅一些blog。

2.2 拉取docker镜像

docker pull logstash:8.11.0
docker pull kibana:8.11.0
docker pull elasticsearch:8.11.0

#注意这里三个镜像版本的一致性
#如果没有将当前用户添加进docker的用户组记得加sudo

拉取镜像完成后使用docker images查看拉取镜像

然后我们可以创造我们的ELK文件目录，用作于我们的docker映射。可以使用mkdir命令以及vi or vim命令一个个创建。也可以使用此命令一次完成mkdir -p ~/elk/{es,logstash,kibana}

2.3 elasticsearch密码

在我们创建的elk/es/目录下再创建一个data目录，目录结构elk/es/data。

然后我们将文件夹的主属性修改为1000，因为在docker容器中elasticsearch运行用户为1000。

elk-@elk-virtual-machine:~$ chown 1000:1000 -R elk/es/
elk-@elk-virtual-machine:~$ ls -al elk/es/
总计 12
drwxrwxr-x 3 elk- elk- 4096  2月 18 19:58
drwxrwxr-x 5 elk- elk- 4096  2月 19 16:45
drwxrwxr-x 5 elk- elk- 4096  2月 19 16:53 data

运行elasticsearch，使用-v来指定映射关系。

elk-@elk-virtual-machine:~/桌面$ docker run -d --name es -p 9200:9200 -p 9300:9300 -v ~/elk/es/data:/usr/share/elasticsearch/data elasticsearch:8.11.0

等待启动成功后，进入docker中的/usr/share/elasticsearch/bin目录，使用docker exec -it es bash进入docker然后再cd bin进入bin目录。

然后我们在当前的bin目录下，使用命令elasticsearch-setup-passwords interactive

将elasticsearch中的所有内置用户密码都一直修改为123456（为了方便记忆）。接着我们再去使用修改后的密码访问elasticsearch服务。

然后使用docker stop 以及docker rm 命令来删除刚才的elasticsearch容器。

2.4 编写yml文件并运行ELK服务

写docker-compose.yml文件，创建docker network

Docker服务	指定IP地址	端口
elasticsearch	172.16.200.10	9200
kibana	172.16.200.20	5601
logstash	172.16.200.30	5044

version: '3'

services:
  elasticsearch:
    container_name: es
    image: elasticsearch:8.11.0
    restart: "always"
    ports:
      - "9200:9200"
    expose:
      - "9300"
    volumes:
      - "/home/elk-/elk/es/data:/usr/share/elasticsearch/data"
    environment:
      discovery.type: single-node

    networks:
      elk:
        ipv4_address: 172.16.200.10

  kibana:
    container_name: kibana
    image: kibana:8.11.0
    restart: "always"
    ports:
      - "5601:5601"
    volumes:
      - "/home/elk-/elk/kibana/kibana.yml:/usr/share/kibana/config/kibana.yml"
    networks:
      elk:
        ipv4_address: 172.16.200.20
    depends_on:
      - elasticsearch

  logstash:
    container_name: logstash
    image: logstash:8.11.0
    restart: "always"
    expose:
      - "5044"
    volumes:
      - "/home/elk-/elk/logstash/logstash.yml:/usr/share/logstash/logstash.yml"
    depends_on:
      - elasticsearch
    networks:
      elk:
        ipv4_address: 172.16.200.30

networks:
  elk:
    driver: bridge
    ipam:
      config:
        - subnet: "172.16.200.0/24"

接着创建kibana的配置文件~/elk/kibana/kibana.yml以及logstash的配置文件~/elk/logstash/logstash.yml

kibana的配置文件内容：

server.name: kibana
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://172.16.200.10:9200"]
elasticsearch.username: "kibana_system"
elasticsearch.password: "123456"
xpack.monitoring.ui.container.elasticsearch.enabled: true

logstash的配置文件内容：

http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://172.16.200.10:9200" ]
xpack.monitoring.elasticsearch.username: "logstash_system"
xpack.monitoring.elasticsearch.password: "123456"

再将~/elk/es、 ~/elk/kibana、 ~/elk/logstash的文件属性改为1000

chown 1000:1000 -R ~/elk/es/
chown 1000:1000 -R ~/elk/kibana/
chown 1000:1000 -R ~/elk/logstash/

启动ELK

#启动docker容器ELK
docker compose up -d
#查看docker容器
docker ps

http访问192.168.17.143:9200与192.168.17.143:5601使用账户elastic和密码123456登录查看。

3.安装Suricata

由于前面我们是在192.168.17.143上运行的ELK服务，这里我们在192.168.17.142上来运行suricata以及filebeat服务。

# 安装必要依赖项
sudo apt install autoconf automake build-essential cargo cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool libyaml-dev make pkg-config rustc zlib1g-dev -y
# 下载源代码
wget https://www.openinfosecfoundation.org/download/suricata-8.0.0.tar.gz
# 解压
tar xvzf suricata-8.0.0.tar.gz
# 构建安装软件包
cd suricata-8.0.0
# 在该命令下运行配置脚本
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
# 使用该命令安装软件包
sudo make && sudo make install-full

当我们安装完成suricata后可以使用suricata-update来下载suricata规则，并确保suricata处于运行状态。

如果这里suricata是exited而不是running，记得求助ai尝试解决。

修改suricata配置文件，文件路径为/etc/suricata/suricata.yaml，确认一下网卡名称（可以安装net-tools，使用ifconfig来确认自己虚拟机的网卡名称），一般虚拟机都是ens33。

4.安装filebeat

# 下载deb包
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.11.0-amd64.deb
# 安装deb包
sudo dpkg -i filebeat-8.4.3-amd64.deb

修改filebeat配置文件，文件路径为/etc/filebeat/filebeat.yml。

output.elasticsearch:
  hosts: ["http://你运行ELK服务虚拟机的IP:9200"]
  username: "elastic"
  password: "123456"

setup.kibana:
  host: "http://<你运行ELK服务虚拟机的IP>:5601"

启用filebeat的suricata模块

sudo filebeat modules enable suricata

将/etc/filebeat/modules.d/suricata.yml中的enabled的值改为true，并且要将路径配置清楚/var/log/suricata/eve.json，以防后续在传输数据时出现问题。

执行命令，将suricata的仪表板添加到kibana中。

filebeat setup

查看仪表盘如下，已经导入成功

启动filebeat，并设置开机自启

systemctl enable filebeat
systemctl start filebeat

5.测试结果展示

参考链接

https://cloud.tencent.com/developer/article/2457775

https://blog.csdn.net/Purpose_7/article/details/127314558