T-Pot Ewsposter Docker镜像文档

镜像概述

T-Pot Ewsposter是T-Pot多蜜罐平台的核心组件之一，由Telekom Security开发维护。该镜像专注于蜜罐事件的处理流程，负责从T-Pot集成的各类蜜罐（如Cowrie、Dionaea、ElasticHoney等）捕获原始安全事件，进行标准化格式化，并将处理后的事件数据转发至指定的日志系统、SIEM平台或外部分析服务，是T-Pot平台实现事件集中管理与威胁分析的关键环节。

核心功能与特性

• 事件捕获集成：无缝对接T-Pot平台内各类蜜罐组件，实时收集攻击事件数据
• 标准化格式化：将不同蜜罐产生的异构事件数据转换为统一格式，确保数据一致性
• 多目标转发：支持将格式化事件发送至日志管理系统（如ELK Stack）、SIEM工具或HTTP API服务
• 轻量级容器化：基于Docker构建，资源占用低，可与T-Pot其他组件通过容器编排工具协同部署
• 可配置化：通过环境变量灵活配置事件转发目标、认证信息及日志级别

使用场景与适用范围

• T-Pot平台部署：作为T-Pot多蜜罐平台的必备组件，在蜜罐网络环境中承担事件处理中枢角色
• 安全事件监控：为安全运营团队提供标准化的攻击事件数据，支持实时威胁监控
• 威胁情报分析：辅助安全分析师收集、聚合攻击事件，提取威胁指标（IOCs）与攻击模式
• 合规审计：生成结构化事件报告，满足安全合规审计需求

使用方法与配置说明

前置条件

• 已安装Docker Engine（20.10+）及Docker Compose（v2+）
• 已获取T-Pot平台完整部署文件（通过官方仓库克隆：git clone [***]）

部署方式

T-Pot Ewsposter需作为T-Pot平台的一部分部署，通常通过docker-compose.yml与其他组件协同运行，默认配置已包含在T-Pot项目中：

1. 进入T-Pot项目目录：

   cd tpotce
   

2. 编辑docker-compose.yml（如无需自定义配置可跳过），确认Ewsposter服务配置：

   services:
     ewsposter:
       image: telekomsecurity/tpot-ewsposter:latest
       container_name: tpot_ewsposter
       restart: always
       depends_on:
         - cowrie
         - dionaea
         - elasticsearch
       environment:
         - TARGET_URL=[***]  # 事件转发目标URL
         - AUTH_HEADER=Authorization                       # 认证头字段
         - AUTH_TOKEN=your-secure-token                    # 目标服务认证令牌
         - LOG_LEVEL=INFO                                  # 日志级别
       volumes:
         - tpot_ewsposter_data:/data                       # 持久化事件缓存与配置
       networks:
         - tpot_network
   
   volumes:
     tpot_ewsposter_data:
   
   networks:
     tpot_network:
   

3. 启动T-Pot平台（包含Ewsposter组件）：

   docker-compose up -d
   

关键环境变量配置

数据持久化

通过Docker卷tpot_ewsposter_data:/data实现事件缓存、配置文件及未发送事件的持久化存储，避免容器重启或升级导致数据丢失。

注意事项

• 该镜像为T-Pot平台专用组件，不支持独立部署运行
• 事件转发目标服务需支持HTTP/HTTPS POST请求，且能接收JSON格式事件数据
• 敏感配置（如AUTH_TOKEN）建议通过Docker Secrets或环境变量文件注入，避免明文暴露
• 部署前需确保T-Pot平台网络（tpot_network）与目标服务网络连通性正常