BeaKer 项目常见问题解决方案

BeaKer 项目常见问题解决方案

BeaKer Beacon Kibana Executable Report. Aggregates Sysmon Network Events With Elasticsearch and Kibana 项目地址: https://gitcode.com/gh_mirrors/beaker/BeaKer

项目基础介绍

BeaKer 是一个开源项目，它通过聚合 Sysmon 网络事件数据，使用 Elasticsearch 和 Kibana 提供可视化的网络数据报告。该项目主要帮助安全专家追踪可疑网络连接的源头。它使用了 Microsoft Sysmon 日志，通过 WinLogBeats 将日志发送到 Elasticsearch，并由 Kibana 提供用户界面来展示和管理这些数据。

主要编程语言：项目主要是使用 JavaScript 编写的，它依赖于 Elasticsearch 和 Kibana 的 API 进行数据的存储和展示。

新手常见问题及解决步骤

问题一：如何安装和配置 BeaKer？

问题描述：新手用户可能不知道如何正确安装和配置 BeaKer。

解决步骤：

1. 确保你的系统满足以下要求：

   • 操作系统：推荐使用 x86 64-bit Ubuntu 20.04 LTS 或 CentOS 7。
   • 处理器：至少双核处理器，以支持 Elasticsearch 的并行处理。
   • 内存：8-64GB，具体取决于需要监控的主机数量。
   • 存储：确保 /var/lib/docker/volumes 有足够空间存储网络日志。

2. 使用项目提供的自动化安装脚本来安装 BeaKer 服务器和代理。

3. 根据官方文档，配置 WinLogBeats 以将 Sysmon 日志发送到 Elasticsearch。

问题二：如何使用 BeaKer 进行数据分析？

问题描述：用户可能不清楚如何利用 BeaKer 进行有效的数据分析。

解决步骤：

1. 确保 Sysmon 已经在 Windows 主机上运行，并且日志数据已经被发送到 Elasticsearch。
2. 打开 Kibana，进入 BeaKer 仪表板。
3. 在仪表板上输入源 IP 和目的 IP，以及想要查看的时间范围。
4. 查看程序列表，了解哪些可执行文件在源机器上创建了到目的地的连接。
5. 详细查看 Sysmon 日志，分析网络事件的详细信息。

问题三：如何解决 BeaKer 运行中的性能问题？

问题描述：用户可能会遇到性能问题，例如 Kibana 响应缓慢。

解决步骤：

1. 检查 Elasticsearch 集群的性能，确保它是优化配置的。
2. 增加服务器的内存和处理器资源，如果资源不足的话。
3. 优化 Elasticsearch 的索引设置，例如调整分片和副本的数量。
4. 根据需要调整 Kibana 仪表板的视觉效果和查询，减少不必要的复杂查询。

以上步骤可以帮助新手用户解决在使用 BeaKer 项目过程中可能遇到的一些常见问题。

BeaKer Beacon Kibana Executable Report. Aggregates Sysmon Network Events With Elasticsearch and Kibana 项目地址: https://gitcode.com/gh_mirrors/beaker/BeaKer