-
Notifications
You must be signed in to change notification settings - Fork 58
Dockerでの構築
S03D4-164 edited this page Apr 30, 2020
·
4 revisions
本インストール手順はLinux (Ubuntu) で動作を確認しております。
環境には、あらかじめdocker-composeをインストールしてください。
SysmonSearchリポジトリをクローンし、dockerディレクトリに移動します。
$ git clone https://github.com/JPCERTCC/SysmonSearch.git
$ cd SysmonSearch/docker/プロキシサーバを使用している環境である場合、設定ファイルにプロキシサーバの URL を記述してください。
$ vim docker-compose.yml
# 以下の箇所にプロキシサーバの URL を設定します。
args:
- http_proxy=[proxy_server_URL]
- https_proxy=[proxy_server_URL]setup.shを実行します。
$ sh ./setup.sh
以下のコマンドでコンテナが起動します。
$ docker-compose up
localhostのポート9200で稼働している場合:
$ curl localhost:9200Webブラウザから、[Server IP address]:5601にアクセスします。
なお、kibana のコンテナの初回起動時はプラグインのコンパイルが行われ、完了まで数分ほどかかります。
localhostのポート56020で稼働している場合:
# docker ディレクトリ内で実行する場合
$ curl localhost:56020/convert/ioc -F 'file=@../stixioc-import-server/data/sample.ioc.xml'以下をホストOSのcrontabに設定します。
DATE=`date -d \"-1 day\" \"+%Y.%m.%d\"`
0,30 * * * * docker exec docker-stixioc-import-server python ../script/collection_statistical_data.py
0,30 * * * * docker exec docker-stixioc-import-server python ../script/collection_alert_data.py
0 1 * * * docker exec docker-stixioc-import-server python ../script/collection_statistical_data.py $DATE
スクリプトが正しく動作するように設定を編集してください。
$ vim script/collection_statistical_data_setting.py
# INDEX_NAME_ORG にはインデックス名から年月日を削ったものを設定してください
# インデックス名が winlogbeat-yyyy.mm.dd の場合
INDEX_NAME_ORG = "winlogbeat"
# インデックス名が winlogbeat-7.5.1-yyyy.mm.dd の場合
INDEX_NAME_ORG = "winlogbeat-7.5.1"クライアントのセットアップを参照してください。