Suricata Eve JSON 输出

JSON output

从2.0开始,Suricata可以通过json输出警报,http事件,dns事件,tls事件和文件信息。
使用这种方法的最常用的方法是通过“EVE”,这是所有这些日志都放到一个文件中的流水线方式。

outputs:
  - eve-log:
      enabled: yes
      type: file #file|syslog|unix_dgram|unix_stream
      filename: eve.json
      types:
        - alert
        - http:
            extended: yes     # enable this for extended logging information
        - dns
        - tls:
            extended: yes     # enable this for extended logging information
        - files:
            force-magic: no   # force logging magic on all logged files
            force-md5: no     # force logging of md5 checksums
        #- drop
        - ssh

每个警报,http日志等将进入这个文件:“eve.json”。 例如,该文件可以由Logstash处理。

多个记录器实例

有可能有多个“EVE”实例,例如以下内容是有效的:

outputs:
  - eve-log:
      enabled: yes
      type: file
      filename: eve-ips.json
      types:
        - alert
        - drop

  - eve-log:
      enabled: yes
      type: file
      filename: eve-nsm.json
      types:
        - http
        - dns
        - tls

所以这里的警报和丢弃进入“eve-ips.json”,而http,dns和tls进入“eve-nsm.json”。
除此之外,每个日志可以完全分开处理:

outputs:
  - alert-json-log:
      enabled: yes
      filename: alert-json.log
  - dns-json-log:
      enabled: yes
      filename: dns-json.log
  - drop-json-log:
      enabled: yes
      filename: drop-json.log
  - http-json-log:
      enabled: yes
      filename: http-json.log
  - ssh-json-log:
      enabled: yes
      filename: ssh-json.log
  - tls-json-log:
      enabled: yes
      filename: tls-json.log

对于大多数输出类型,您可以添加多个:

outputs:
  - alert-json-log:
      enabled: yes
      filename: alert-json1.log
  - alert-json-log:
      enabled: yes
      filename: alert-json2.log

你可能感兴趣的:(Suricata Eve JSON 输出)