Tôi đang cố gắng thiết lập một điểm nhấn mạng giữa bộ định tuyến và thiết bị của mình để thực hiện một số nội dung giám sát tại nhà.Mọi thứ đang hoạt động, tôi có thể thấy lưu lượng truy cập vào và ra được ghi lại qua Suricata và Zeek/Bro. Vấn đề duy nhất là trong nhật ký, mặc dù tất cả các IP đều khác nhau với các tên máy chủ khác nhau, nhưng nó lại đặt cùng một tên máy chủ cho tất cả các thiết bị giống như tên của máy chủ lưu lượng được nhân đôi (dell-optiplex).
Ví dụ: 192.168.0.10 - Dell-Optiplex-7040 <- Tất cả lưu lượng được nhân đôi sẽ đến máy chủ lưu trữ này nơi tôi có ngăn xếp Suricata và ELK
192.168.0.1 - Bộ định tuyến,
192.168.0.2 - tên máy chủ mac-xyz,
192.168.0.3 - tên máy chủ tv,
.
.
.
,192.168.0.20 - tên máy chủX
Trong nhật ký của mình, tôi thấy mọi thứ đến từ Dell-Optiplex.
Giao diện - eth0 ở chế độ hỗn tạp đang lắng nghe lưu lượng truy cập trên Dell của tôi.
Tôi đã thử chỉnh sửa tệp/etc/hosts bằng các mục nhập tùy chỉnh nhưng không gặp may!
Trong bộ định tuyến của tôi và trên lỗ pi, tôi có thể thấy các tên máy chủ khác nhau.
Tái bút: Tôi cũng đã kiểm tra nhật ký thô trước khi được cung cấp cho Elaticsearch và Kibana, và tôi chỉ thấy một tên máy chủ nên chắc chắn đó không phải là vấn đề với Elaticsearch/Kibana.
Ảnh chụp màn hình DHCP lỗ nhỏ
nhật ký elaticsearch cho ảnh chụp màn hình tên máy chủ
elaticsearch cho ảnh chụp màn hình ips
