Bro 将地址记录到 WSO2 CEP 进行处理
Bro Logs address to WSO2 CEP for processing
我有一个项目可以对 bro 日志执行复杂的事件处理,以检测任何安全滞后或攻击等。我做了初步调查,发现 bro 生成了各种日志文件,我可以让 WSO2 CEP 获取这些文件并编写 Siddhi 查询以进行事件处理。由于 WSO2 CEP 的事件接收器采用 xml、json 或 text 作为消息格式,我是否需要更改 bro 日志文件的格式或它们可以按原样工作?因为我没有碰巧找到任何将标准日志文件作为事件接收器的 WSO2CEP 样本?
要实现这一点,您可以使用 CEP 文件尾事件接收器,然后使用 RegEx 从日志消息中提取详细信息,类似于提供的示例 here(WSO2CEP 4.1 中的示例编号 0022)。
或者,您也可以编写一个客户端来提取日志,并以您喜欢的任何传输方式将其作为 XML 或 JSON 事件发送到 CEP。
幸运的是,兄弟支持日志文件的 json 格式。
我刚刚修改了 ascii.bro 文件中的一些默认选项,例如
# to use json instead of `tsv` for all log files. It was F bydefault
const use_json = T &redef;
# to display timestamps in a standard format
const json_timestamps:JSON::TimestampFormat = JSON::TS_ISO8601 &redef;
现在我正在获取所需格式的所有日志。
我有一个项目可以对 bro 日志执行复杂的事件处理,以检测任何安全滞后或攻击等。我做了初步调查,发现 bro 生成了各种日志文件,我可以让 WSO2 CEP 获取这些文件并编写 Siddhi 查询以进行事件处理。由于 WSO2 CEP 的事件接收器采用 xml、json 或 text 作为消息格式,我是否需要更改 bro 日志文件的格式或它们可以按原样工作?因为我没有碰巧找到任何将标准日志文件作为事件接收器的 WSO2CEP 样本?
要实现这一点,您可以使用 CEP 文件尾事件接收器,然后使用 RegEx 从日志消息中提取详细信息,类似于提供的示例 here(WSO2CEP 4.1 中的示例编号 0022)。
或者,您也可以编写一个客户端来提取日志,并以您喜欢的任何传输方式将其作为 XML 或 JSON 事件发送到 CEP。
幸运的是,兄弟支持日志文件的 json 格式。
我刚刚修改了 ascii.bro 文件中的一些默认选项,例如
# to use json instead of `tsv` for all log files. It was F bydefault
const use_json = T &redef;
# to display timestamps in a standard format
const json_timestamps:JSON::TimestampFormat = JSON::TS_ISO8601 &redef;
现在我正在获取所需格式的所有日志。