Logging 如何为Suricata警报编写自定义警报格式
我正在尝试为Suricata警报编写一种(非常简单的)自定义格式,以便将其摄取到我编写的Python应用程序中 在我发现的字段中,它表示一些字段,如“-http log:”,支持“customvalue”选项。我试图确定生成我感兴趣的警报的“-fast”部分是否也支持自定义格式Logging 如何为Suricata警报编写自定义警报格式,logging,Logging,我正在尝试为Suricata警报编写一种(非常简单的)自定义格式,以便将其摄取到我编写的Python应用程序中 在我发现的字段中,它表示一些字段,如“-http log:”,支持“customvalue”选项。我试图确定生成我感兴趣的警报的“-fast”部分是否也支持自定义格式 如果有人曾经为Suricata的fast.log编写过自定义警报格式,我很想了解您是如何做到的。提前感谢您的时间和帮助。不幸的是,在撰写本文时,Suricata不支持其基于“-fast”行的警报的自定义警报格式。对于这种
如果有人曾经为Suricata的fast.log编写过自定义警报格式,我很想了解您是如何做到的。提前感谢您的时间和帮助。不幸的是,在撰写本文时,Suricata不支持其基于“-fast”行的警报的自定义警报格式。对于这种类型的警报日志记录,for Suricata配置只有几个选项(指定文件名和附加选项)。最新的Suricata源代码(可下载)显示-fast logging选项的输出是如下所示的
alert fastlog.c鉴于Suricata fast alert格式的设计与Snort日志选项的格式相同,利用现有Python解析Snort警报可能会有所帮助,并在这种情况下应用类似的方法。您还可以使用lua脚本生成自己的输出格式。源代码中有一个示例实现了类似于日志的快速输出: Suricata中Lua选项的文档可在以下位置找到: