Suricata Eve JSON 输出

JSON output

从2.0开始，Suricata可以通过json输出警报，http事件，dns事件，tls事件和文件信息。
使用这种方法的最常用的方法是通过“EVE”，这是所有这些日志都放到一个文件中的流水线方式。

outputs:
  - eve-log:
      enabled: yes
      type: file #file|syslog|unix_dgram|unix_stream
      filename: eve.json
      types:
        - alert
        - http:
            extended: yes     # enable this for extended logging information
        - dns
        - tls:
            extended: yes     # enable this for extended logging information
        - files:
            force-magic: no   # force logging magic on all logged files
            force-md5: no     # force logging of md5 checksums
        #- drop
        - ssh

每个警报，http日志等将进入这个文件：“eve.json”。 例如，该文件可以由Logstash处理。

多个记录器实例

有可能有多个“EVE”实例，例如以下内容是有效的：

outputs:
  - eve-log:
      enabled: yes
      type: file
      filename: eve-ips.json
      types:
        - alert
        - drop

  - eve-log:
      enabled: yes
      type: file
      filename: eve-nsm.json
      types:
        - http
        - dns
        - tls

所以这里的警报和丢弃进入“eve-ips.json”，而http，dns和tls进入“eve-nsm.json”。
除此之外，每个日志可以完全分开处理：

outputs:
  - alert-json-log:
      enabled: yes
      filename: alert-json.log
  - dns-json-log:
      enabled: yes
      filename: dns-json.log
  - drop-json-log:
      enabled: yes
      filename: drop-json.log
  - http-json-log:
      enabled: yes
      filename: http-json.log
  - ssh-json-log:
      enabled: yes
      filename: ssh-json.log
  - tls-json-log:
      enabled: yes
      filename: tls-json.log

对于大多数输出类型，您可以添加多个：

outputs:
  - alert-json-log:
      enabled: yes
      filename: alert-json1.log
  - alert-json-log:
      enabled: yes
      filename: alert-json2.log