Suricata日志输出

本文主要是介绍Suricata日志输出，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

安装filebeat

配置filebeat.yml输出

# ============================== Filebeat inputs ===============================

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/suricata/fast-*.log  # suricata告警日志
  fields:
    filename: fast

- type: log
  enabled: true
  paths:
    - /var/log/suricata/eve-*.json  # suricata所有流量日志
  fields:
    filename: eve
  json.overwrite_keys: true

······
······

# ------------------------------ Logstash Output -------------------------------
output.logstash:
  # The Logstash hosts
  #hosts: ["localhost:514"]
  hosts: ["10.10.10.1:514"]

suricata每天的eve.json日志量多大，按天保存，删除前一天的eve.json
进入/etc/cron.daily/创建一个文件suricatalog

#!/bin/sh

ls /var/log/suricata/ | grep `date -d'1 days ago' +%Y-%m-%d` | xargs -i rm -f /var/log/suricata/{}

exit 0

这篇关于Suricata日志输出的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！