Checkpoint to Logstash

Настройка сбора логов CheckPoint FW-1 на ELK Вступление Я давно ничего нового не писал и совсем забросил свой LittleBeat. Нет, не забросил. Просто я сменил место работы и последние два месяца занят выше крыши. Но есть надежда, что LittleBeat обретет второе дыхание. Компания, в которой я сейчас работаю, совсем не против поддержки этого Open Source…

LittleBeat Wazuh Kibana App Russian

Небольшое косметическое изменение в LittleBeat 5.5.001 Wazuh Addon. Интерфейс плагина Wazuh переделан на русский язык. Addon теперь ставится с русской версией плагина. Если вы уже устанавливали addon и хотите поменять его на русскую версию это можно сделать с SSH консоли LittleBeat. В главной консоли выберите пункт «выход в shell» и наберите команды: Если вы, напротив,…

LittleBeat Wazuh Addon

Для LittleBeat 5.5.001 появился Wazuh Addon. Это добавляет к имеющимся возможностям обработки логов Windows аналогичные возможности для гетерогенной среды (Linux, Solaris, Mac OS X) и кое-что еще. Много всего. Wazuh — это форк OSSEC. На мой взгляд, сильно улучшенный. OSSEC — это хорошо известная в мире Host IDS. Wazuh много чего добавляет, например, аудит системы…

LittleBeat обновлен

Как видно на картинке, старенький LittleBeat переделан под новый стек ELK 5.5. Новую функциональность он пока не приобрел, но я над этим работаю. В планах добавить Host IDS и Network IDS (OSSEC и Suricata, соответственно). OSSEC будет не стандартный, а форк от Wazuh. Он получше будет, а еще у него есть RESTful API. Suricata будет…

OSSIM и USM: баг в USM и способ обхода

Вот и появился повод вновь написать об OSSIM, впрочем скорее о его коммерческом собрате AlienVault USM. Повод не очень приятный. В AV USM 5.4 валятся плагины, обрабатывающие логи в кодировке utf8 (по крайней мере русские логи). Но это повод. Заметка будет не только об этом. Вообще о разнице между коммерческой и свободной версиями. Но, пока,…

Elastic и Python. Поиск в списке индексов.

На днях столкнулся с интересной проблемой. Используя модуль elasticsearch для Python захотел задать поиск в списке индексов. Конкретно хочу искать данные за несколько последних суток. Понятно, что можно использовать range в фильтре запроса, но зачем? Ведь у меня индексы разбиты по дням, достаточно задать список индексов для поиска. Но как его задать правильно в параметрах…

Elastic для маленьких. Оптимизируем для небольшой компании.

В сети можно найти много ресурсов о том, как оптимизировать крупные кластеры Elasticsearch. И ничего нет об оптимизации маленьких кластеров, тем более совсем никаких не кластеров, а просто одного узла. Тем не менее, в конфигурации «по умолчанию» ваш узел Elasticsearch продержится не долго. Думаю, и неделю не простоит. Надо менять параметры конфигурации. К сожалению, менять их «тупо»…