Încerc să configurez o atingere de rețea între routerul meu și dispozitive pentru a face niște chestii de monitorizare acasă.Totul funcționează, pot vedea traficul de intrare și ieșire înregistrat prin Suricata și Zeek/Bro. Singura problemă este că în jurnale, deși toate IP-urile sunt diferite cu nume de gazdă diferite, se pune același nume de gazdă pentru toate dispozitivele, cum ar fi cel al gazdei de trafic în oglindă (dell-optiplex).
Exemplu: 192.168.0.10 - Dell-Optiplex-7040 <- Tot traficul în oglindă merge către această gazdă unde am Suricata și stiva ELK
192.168.0.1 - Router,
192.168.0.2 - mac-xyz-hostname,
192.168.0.3 - nume de gazdă TV,
.
.
.
,192.168.0.20 - hostnameX
În jurnalele mele văd totul venind de la Dell-Optiplex.
Interfață - eth0 este în modul promiscuu, care ascultă traficul de pe Dell.
Am încercat să editez fișierul /etc/hosts cu intrări personalizate, dar nu am avut succes!
În routerul meu și pe pi-hole pot vedea diferitele nume de gazdă.
PS: Am verificat și jurnalele brute înainte de a fi transmise către Elasticsearch și Kibana și văd doar un nume de gazdă, așa că cu siguranță nu este o problemă cu Elasticsearch/Kibana.
captură de ecran DHCP pi-hole
jurnalele elasticsearch pentru captură de ecran pentru nume de gazdă
elasticsearch pentru captură de ecran ips
