[英]Bro Logs address to WSO2 CEP for processing
我有一個項目可以對bro
日志執行復雜的事件處理,以便檢測任何安全滯后或攻擊等等。 我進行了初步調查,發現bro生成了各種日志文件,我可以使WSO2 CEP
接收這些文件並編寫Siddhi
查詢以進行事件處理。 由於WSO2 CEP的事件接收器采用xml
, json
或text
作為消息格式,我是否可以更改bro日志文件的格式,或者它們可以按原樣工作? 我沒有偶然發現將標准日志文件用作事件接收器的WSO2CEP示例嗎?
為此,您可以使用CEP文件尾事件接收器,然后使用RegEx從日志消息中提取詳細信息,類似於此處提供的示例(WSO2CEP 4.1中的示例編號0022)。
另外,您也可以編寫一個客戶端以提取日志,然后將其作為XML
或JSON
事件以您喜歡的任何傳輸方式發送給CEP。
幸運的是,bro支持日志文件的json
格式。 我剛剛修改了ascii.bro
文件中的一些默認選項,例如
# to use json instead of `tsv` for all log files. It was F bydefault
const use_json = T &redef;
# to display timestamps in a standard format
const json_timestamps:JSON::TimestampFormat = JSON::TS_ISO8601 &redef;
現在,我將以所需格式獲取所有日志。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.