欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Suricata Eve JSON 输出

程序员文章站 2022-07-10 20:22:20
...

JSON output

从2.0开始,Suricata可以通过json输出警报,http事件,dns事件,tls事件和文件信息。
使用这种方法的最常用的方法是通过“EVE”,这是所有这些日志都放到一个文件中的流水线方式。

outputs:
  - eve-log:
      enabled: yes
      type: file #file|syslog|unix_dgram|unix_stream
      filename: eve.json
      types:
        - alert
        - http:
            extended: yes     # enable this for extended logging information
        - dns
        - tls:
            extended: yes     # enable this for extended logging information
        - files:
            force-magic: no   # force logging magic on all logged files
            force-md5: no     # force logging of md5 checksums
        #- drop
        - ssh

每个警报,http日志等将进入这个文件:“eve.json”。 例如,该文件可以由Logstash处理。

多个记录器实例

有可能有多个“EVE”实例,例如以下内容是有效的:

outputs:
  - eve-log:
      enabled: yes
      type: file
      filename: eve-ips.json
      types:
        - alert
        - drop

  - eve-log:
      enabled: yes
      type: file
      filename: eve-nsm.json
      types:
        - http
        - dns
        - tls

所以这里的警报和丢弃进入“eve-ips.json”,而http,dns和tls进入“eve-nsm.json”。
除此之外,每个日志可以完全分开处理:

outputs:
  - alert-json-log:
      enabled: yes
      filename: alert-json.log
  - dns-json-log:
      enabled: yes
      filename: dns-json.log
  - drop-json-log:
      enabled: yes
      filename: drop-json.log
  - http-json-log:
      enabled: yes
      filename: http-json.log
  - ssh-json-log:
      enabled: yes
      filename: ssh-json.log
  - tls-json-log:
      enabled: yes
      filename: tls-json.log

对于大多数输出类型,您可以添加多个:

outputs:
  - alert-json-log:
      enabled: yes
      filename: alert-json1.log
  - alert-json-log:
      enabled: yes
      filename: alert-json2.log