仅向 Suricata EVE 输出规则警报
Only Output Rule Alerts to Suricata EVE
我在几个实验室实例上将 Suricata 设置为 HIDS,并编写了一些示例规则来提醒自定义 User-Headers 和我可以轻松触发的内部 IP,目的是教别人如何使用 Suricata。
对于高级用例,我想将 EVE JSON 文件输出到下游某处,用于最终的数据分析和 BI 用例。
为此,我想从 EVE 中删除 "noise",或者想办法在 JSON 中输出 fast.log。
例如,这就是我会考虑的 "noise" 因为我只想看到触发
,"event_type":"stats","stats":{"uptime":168,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:09.058698+0000","event_type":"stats","stats":{"uptime":176,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:17.059944+0000","event_type":"stats","stats":{"uptime":184,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
我只想从 fast.log 看到这样的东西
[**] [1:200002:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}
那么有没有办法在 EVE 中只获取警报,或者有办法将 Fast.log 转换为 JSON?
又为自己找到了答案。
在 YAML 的第 60 行,有一个值可以设置为 "No" 用于统计 - 这可能会消除 80% 的噪音。如果需要,您可以进一步消除 DNS、TLS、TCP、HTTP 等的元数据,以进一步减少您的日志文件。
我在几个实验室实例上将 Suricata 设置为 HIDS,并编写了一些示例规则来提醒自定义 User-Headers 和我可以轻松触发的内部 IP,目的是教别人如何使用 Suricata。
对于高级用例,我想将 EVE JSON 文件输出到下游某处,用于最终的数据分析和 BI 用例。
为此,我想从 EVE 中删除 "noise",或者想办法在 JSON 中输出 fast.log。
例如,这就是我会考虑的 "noise" 因为我只想看到触发
,"event_type":"stats","stats":{"uptime":168,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:09.058698+0000","event_type":"stats","stats":{"uptime":176,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:17.059944+0000","event_type":"stats","stats":{"uptime":184,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
我只想从 fast.log 看到这样的东西
[**] [1:200002:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}
那么有没有办法在 EVE 中只获取警报,或者有办法将 Fast.log 转换为 JSON?
又为自己找到了答案。
在 YAML 的第 60 行,有一个值可以设置为 "No" 用于统计 - 这可能会消除 80% 的噪音。如果需要,您可以进一步消除 DNS、TLS、TCP、HTTP 等的元数据,以进一步减少您的日志文件。