JSON output
从2.0开始,Suricata可以通过json输出警报,http事件,dns事件,tls事件和文件信息。
使用这种方法的最常用的方法是通过“EVE”,这是所有这些日志都放到一个文件中的流水线方式。
outputs:
- eve-log:
enabled: yes
type: file #file|syslog|unix_dgram|unix_stream
filename: eve.json
types:
- alert
- http:
extended: yes # enable this for extended logging information
- dns
- tls:
extended: yes # enable this for extended logging information
- files:
force-magic: no # force logging magic on all logged files
force-md5: no # force logging of md5 checksums
#- drop
- ssh
每个警报,http日志等将进入这个文件:“eve.json”。 例如,该文件可以由Logstash处理。
多个记录器实例
有可能有多个“EVE”实例,例如以下内容是有效的:
outputs:
- eve-log:
enabled: yes
type: file
filename: eve-ips.json
types:
- alert
- drop
- eve-log:
enabled: yes
type: file
filename: eve-nsm.json
types:
- http
- dns
- tls
所以这里的警报和丢弃进入“eve-ips.json”,而http,dns和tls进入“eve-nsm.json”。
除此之外,每个日志可以完全分开处理:
outputs:
- alert-json-log:
enabled: yes
filename: alert-json.log
- dns-json-log:
enabled: yes
filename: dns-json.log
- drop-json-log:
enabled: yes
filename: drop-json.log
- http-json-log:
enabled: yes
filename: http-json.log
- ssh-json-log:
enabled: yes
filename: ssh-json.log
- tls-json-log:
enabled: yes
filename: tls-json.log
对于大多数输出类型,您可以添加多个:
outputs:
- alert-json-log:
enabled: yes
filename: alert-json1.log
- alert-json-log:
enabled: yes
filename: alert-json2.log