<div dir="auto">Currently in the FreeBSD ports tree, elasticsearch, logstash and kibana are all up to version 5, so are you using these ports in your setup?<br><br><div data-smartmail="gmail_signature">--<br>Michael Shirk<br>Daemon Security, Inc.<br><a href="http://www.daemon-security.com">http://www.daemon-security.com</a></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Apr 6, 2017 9:04 AM, "Oliver Humpage" <<a href="mailto:oliver@watershed.co.uk">oliver@watershed.co.uk</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
> On 6 Apr 2017, at 13:46, C. L. Martinez <<a href="mailto:carlopmart@gmail.com">carlopmart@gmail.com</a>> wrote:<br>
><br>
> And my last question: searching over the web to think about how to install and implement this solution, I see a lot of people use Elasticsearch 2.X/Logstash 2.X/Kibana 3.X or 4.X.. Any technical reason for not to use Elasticsearc/Logstash/Kibana 5??<br>
<br>
ELK’s been undergoing a lot of change recently, and it can be quite hard work to update the stack due to breaking changes. If you’re starting from scratch, though, you’re probably OK to use the latest. (We also run all the ELK stuff on FreeBSD, even the Java-based bits - it’s not that bad!)<br>
<br>
As for remote logging... this is general advice rather than suricata-specific, but we’ve found RabbitMQ to be a very good solution. If a host’s software already has a RabbitMQ plugin (eg pmacct) then it talks directly to the logging cluster’s RabbitMQ servers. If not, we use some very basic logstash instances in the cluster to receive logs and put them straight into RabbitMQ.<br>
<br>
Then some more complicated logstash processes (i.e. with all the filters/munging/etc) take messages out of the queue and pump into ElasticSearch.<br>
<br>
This all seems to be pretty robust, and also allows for easy changes/upgrades to the logstash/ES instances without losing any log lines.<br>
<br>
HTH<br>
<br>
Oliver.<br>
<br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
</blockquote></div></div>