如何为Suricata警报编写自定义警报格式
我试图为Suricata警报编写(非常简单的)自定义格式,以便将其摄取到我编写的Python应用程序中。
在我找到的documentation中,它表示某些字段,例如" - http-log:",支持自定义值'选项。我试图确定" -fast"生成我感兴趣的警报的部分也支持自定义格式。
如果有人为Suricata的fast.log编写了自定义警报格式,我将有兴趣了解您是如何做到的。提前感谢您的时间和帮助。
2 个答案:
答案 0 :(得分:1)
不幸的是,Suricata不支持自己的" -fast"在撰写本文时基于行的警报。 Suricata配置的documentation只有一些选项(指定文件名和附加选项),用于此类警报日志记录。最新的Suricata源(可下载的here)显示-fast logging选项的输出是下面显示的{{1}}文件中的硬编码格式。
鉴于Suricata快速警报格式的设计与Snort alert_fast日志记录选项的格式相同,利用现有的Python solution解析Snort警报可能会有所帮助,并应用在这种情况下类似的做法。
答案 1 :(得分:0)
您还可以使用lua脚本生成自己的输出格式。源代码中有一个示例在此处实现类似快速日志的输出:https://github.com/inliniac/suricata/blob/master/lua/fast.lua
可以在此处找到Suricata中Lua选项的文档:http://suricata.readthedocs.io/en/latest/output/lua-output.html
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?