兄弟日志地址到WSO2 CEP以進行處理

Question

我有一個項目可以對bro日志執行復雜的事件處理，以便檢測任何安全滯后或攻擊等等。 我進行了初步調查，發現bro生成了各種日志文件，我可以使WSO2 CEP接收這些文件並編寫Siddhi查詢以進行事件處理。 由於WSO2 CEP的事件接收器采用xml ， json或text作為消息格式，我是否可以更改bro日志文件的格式，或者它們可以按原樣工作？ 我沒有偶然發現將標准日志文件用作事件接收器的WSO2CEP示例嗎？

Answer 1

為此，您可以使用CEP文件尾事件接收器，然后使用RegEx從日志消息中提取詳細信息，類似於此處提供的示例（WSO2CEP 4.1中的示例編號0022）。

另外，您也可以編寫一個客戶端以提取日志，然后將其作為XML或JSON事件以您喜歡的任何傳輸方式發送給CEP。

Answer 2

幸運的是，bro​​支持日志文件的json格式。 我剛剛修改了ascii.bro文件中的一些默認選項，例如

# to use json instead of `tsv` for all log files. It was F bydefault
const use_json = T &redef;
# to display timestamps in a standard format
const json_timestamps:JSON::TimestampFormat = JSON::TS_ISO8601 &redef;

現在，我將以所需格式獲取所有日志。