0

我在几个实验室实例上将 Suricata 设置为 HIDS,并编写了一些示例规则来提醒我可以轻松触发的自定义用户标头和内部 IP,目的是教别人如何使用 Suricata。

对于高级用例,我想在下游某处输出 EVE JSON 文件,用于最终的数据分析和 BI 用例。

为此,我想从 EVE 中删除“噪音”,或者想办法让 fast.log 以 JSON 格式输出。

例如,这就是我认为的“噪音”,因为我只想看到触发

,"event_type":"stats","stats":{"uptime":168,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:09.058698+0000","event_type":"stats","stats":{"uptime":176,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$
{"timestamp":"2019-08-13T14:29:17.059944+0000","event_type":"stats","stats":{"uptime":184,"capture":{"kernel_packets":313,"kernel_drops":0,"errors":0},"decoder":{"pkts":313,"bytes":68519,"invalid":0,"ipv4":305,"ipv6":0,"ethernet":313,"r$

我只想从 fast.log 中看到这样的东西 [**] [1:200002:6] ET USER_AGENTS Suspicious User Agent (BlackSun) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP}

那么有没有办法只获取 EVE 中的警报,或者将 Fast.log 转换为 JSON 的方法?

4

1 回答 1

0

再次为自己找到了答案。

在 YAML 的第 60 行,您可以将一个值设置为“否”用于统计信息 - 这可能会消除您所拥有的 80% 的噪音。如果需要,您可以进一步消除 DNS、TLS、TCP、HTTP 等的元数据,以进一步减少您的日志文件。

于 2019-08-14T02:34:32.663 回答