我有一个项目来执行bro日志的复杂事件处理,以检测任何安全滞后或攻击等。我已经完成了初步调查,发现 bro 生成了各种日志文件,我可以WSO2 CEP获取这些文件并编写Siddhi查询以进行事件处理。作为 WSO2 CEP 的事件接收器xml,json或者text作为消息格式,我是否需要更改 bro 日志文件的格式或者它们可以按原样工作?因为我没有碰巧找到任何将标准日志文件作为事件接收器的 WSO2CEP 样本?
问问题
77 次
2 回答
1
为此,您可以使用 CEP 文件尾事件接收器,然后使用 RegEx 从日志消息中提取详细信息,类似于此处提供的示例(WSO2CEP 4.1 中的示例编号 0022)。
或者,您也可以编写一个客户端来提取日志并将其作为一个XML或JSON事件以您喜欢的任何传输方式发送到 CEP。
于 2016-03-26T17:28:40.253 回答
0
幸运的是,兄弟支持json日志文件的格式。ascii.bro我刚刚修改了文件中的一些默认选项,例如
# to use json instead of `tsv` for all log files. It was F bydefault
const use_json = T &redef;
# to display timestamps in a standard format
const json_timestamps:JSON::TimestampFormat = JSON::TS_ISO8601 &redef;
现在我正在获取所需格式的所有日志。
于 2016-03-27T10:06:16.257 回答