broセキュリティの遅れや攻撃などを検出するために、ログの複雑なイベント処理を実行するプロジェクトがあります。最初の調査を行ったところ、bro がさまざまなログ ファイルを生成しWSO2 CEP、それらのファイルを取得Siddhiしてイベント処理用のクエリを作成できることがわかりました。WSO2 CEP のイベント レシーバーとしてxml、jsonまたはtextメッセージ形式として、ブロ ログ ファイルの形式を変更する必要がありますか、それともそのまま使用できますか? 標準のログ ファイルをイベント レシーバーとして使用する WSO2CEP のサンプルを見つけられなかったのでしょうか。
2 に答える
1
これを実現するには、ここで提供されているサンプル(WSO2CEP 4.1 のサンプル番号 0022)のように、CEP ファイル テール イベント レシーバーを使用してから、RegEx を使用してログ メッセージから詳細を抽出します。
または、クライアントを記述してログを抽出し、任意のトランスポートでXMLまたはJSONイベントとして CEP に送信することもできます。
于 2016-03-26T17:28:40.253 に答える
0
幸いなことjsonに、ログ ファイルの形式はサポートされています。ascii.bro次のようなファイルのデフォルトオプションをいくつか変更しました
# to use json instead of `tsv` for all log files. It was F bydefault
const use_json = T &redef;
# to display timestamps in a standard format
const json_timestamps:JSON::TimestampFormat = JSON::TS_ISO8601 &redef;
そして今、すべてのログを必要な形式で取得しています。
于 2016-03-27T10:06:16.257 に答える