json - 仅向 Suricata EVE 输出规则警报
问题描述
我在几个实验室实例上将 Suricata 设置为 HIDS,并编写了一些示例规则来提醒我可以轻松触发的自定义用户标头和内部 IP,目的是教别人如何使用 Suricata。
对于高级用例,我想在下游某处输出 EVE JSON 文件,用于最终的数据分析和 BI 用例。
为此,我想从 EVE 中删除“噪音”,或者想办法让 fast.log 以 JSON 格式输出。
例如,这就是我认为的“噪音”,因为我只想看到触发
,"event_type":"stats","stats":{"uptime":168,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:09.058698+0000","event_type":"stats","stats":{"uptime":176,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:17.059944+0000","event_type":"stats","stats":{"uptime":184,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
我只想从 fast.log 中看到这样的东西
[**] [1:200002:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}
那么有没有办法只获取 EVE 中的警报,或者将 Fast.log 转换为 JSON 的方法?
解决方案
再次为自己找到了答案。
在 YAML 的第 60 行,您可以将一个值设置为“否”用于统计信息 - 这可能会消除您所拥有的 80% 的噪音。如果需要,您可以进一步消除 DNS、TLS、TCP、HTTP 等的元数据,以进一步减少您的日志文件。
推荐阅读
- rest - 详细的 API 的 REST 方法
- javascript - 根据标题名称连接二维数组中的列
- jquery - 从 jQuery 应用程序调用 ReactJS 组件
- python - Python 舍入值不适用于 Numpy 条件产生 TypeError: '<' not supported between 'list' 和 'float
- centos - CentOS 8 允许 TLS v1.0 无需将系统范围的 update-crypto-policies 设置为 legacy
- javascript - 复选框:具有双值的内爆复选框
- gurobi - 我可以使用 Gurobi 获得特定约束的对偶值吗?
- sql - 如何在 Postgres 中指定的时间内查看每小时结果
- html - 在哪里可以找到默认显示的文档?
- javascript - javascript将对象/数组之类的字符串拆分为节点