Suricata通过filebeat将告警事件送往Kafka,ElasticSearch
Posted zafu
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Suricata通过filebeat将告警事件送往Kafka,ElasticSearch相关的知识,希望对你有一定的参考价值。
Suricata通过filebeat将告警事件送往Kafka,ElasticSearch
原创姚贤贤 发布于2019-02-15 16:15:01 阅读数 367 收藏
展开
Suricata可以通过logstash将告警事件送往Kafka,ElasticSearch,其实filebeat也可以用来代替logstash,更轻量级,消耗更低性能
配置文件filebeat.yml
filebeat.inputs: - type: log enabled: true paths: - /suricatalog/eve.json #json.keys_under_root: true #解析json,将json中的字段都放到根节点 #json.overwrite_keys: true #配合上一条使用,如果解析出来的字段名和跟节点的字段名相同则覆盖 output.kafka: # initial brokers for reading cluster metadata hosts: ["10.42.107.170:9092"] # message topic selection + partitioning topic: ‘alert‘ partition.round_robin: reachable_only: false required_acks: 1 compression: gzip max_message_bytes: 1000000
启动filebeat
./filebeat -e
————————————————
版权声明:本文为CSDN博主「姚贤贤」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u011311291/article/details/87368209
以上是关于Suricata通过filebeat将告警事件送往Kafka,ElasticSearch的主要内容,如果未能解决你的问题,请参考以下文章
网络安全系列-四十三:使用Suricata分析恶意流量pcap文件
通过 Rancher 实现 NeuVector 安全事件监控和告警
通过 filebeats 或 nxlog 等日志收集器读取 XEL(SQL Server 扩展事件文件)