問題タブ [suricata]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
logstash - kibana にバイト、セッション、およびソース パラメータを追加して、suricata ログを視覚化する方法は?
rsyslogを使用して、すべてのログ(suricataログはこちら)をlogstashにリダイレクトしました。以下のように rsyslog のテンプレートを使用しました。
すべての着信メッセージに対して、rsyslog はログ プロパティを JSON 形式のメッセージに補間し、ポート 10514 でリッスンして Logstash に転送します。参照リンク: https://devconnected.com/monitoring-linux-logs-with-kibana-and- rsyslog/
(上記の参照リンクに記載されているように、logstash も構成しました)
Kibana Discover のすべての列を取得していますが (rsyslog の json-template で説明されているように)、kibana のバイト、セッション、およびソース列も必要ですが、ここでは取得していません。ここに Kibana で取得しているコラムのスナップショットを添付しました
Kibana で利用可能なフィールド (または列) は次のとおりです。
Kibanaの利用可能なフィールドにバイト、セッション、ソースを追加する方法を教えてください。Kibana でさらにドリルダウンするには、これらのパラメーターが必要です。
編集: "/var/log/suricata/eve.json" がどのように見えるかを追加しました (Kibana で視覚化する必要があります)。
バイトの場合、フロー内で利用可能な (bytes_toserver+bytes_toclient) を使用します。計算する必要があるセッション。Source_IP ソースとして使用します。