Log Module

Q1:suricata日志以什么文件格式存储?

分为三类:json、log,pcap格式

Q2:suricata日志都分了哪些级别?

日志level分为:Emergency、Alert、Critical、Error、Warning、Notice、Info,Debug

Q3:suricata日志记录哪些信息,内容以什么形式组织的?

  1. eve.json
    suricata所有的告警,元数据,文件信息和特定协议记录都会记录在eve.json中,事件类型 分为alert、http、dns、tls,drop


  1. fast.log

  1. http.log

  1. dns.log

  1. stats.log

  2. drop.log
    被丢弃的报文合集

  3. log.pcap.timestamp
    pcap报文

  4. 自定义日志输出
    利用Lua脚本,只需要重写4个函数:init(),setup(),log(),deinit()
    即可以自定义日志输出格式

Q4:suricata用什么技术记录这些日志的?

Suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)。在这种模式下,来自每一路流的数据包被分配给单一的检测线程。

Suricata上电时,通过yaml配置文件将需要激活的output module以全局变量链表list串联起来,检测线程将数据送到output queque后,Output线程查看output_queue,队列里面是通用数据,接着会按active register依次将通用数据转换成不同种类日志,并完成打印日志

Q5:suricata写盘的时机是怎么样的?

autofp模式会产生一个outputs线程,再检测线程检测完毕后,会调用output线程,告知其新数据来了,然后outputs统一将output_queue数据写盘

Code Review

日志实现原理

日志数据流

网络入侵检测系统之Suricata(三)--日志代码详解相关推荐

  1. 网络入侵检测系统之Suricata(四)--初始化模块代码详解

    initial Module 初始化流程 初始化Suricata instance 用来保存程序当前的一些状态.标志等上下文环境,通常是用来作为参数传递给各个模块的子函数 memset(suri, 0 ...

  2. 网络入侵检测系统之Suricata(七)--DDOS流量检测模型

    Suricata支持DDOS流量检测模型 What 分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序 ...

  3. 网络入侵检测系统之Suricata(一)

    What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS).内联入侵预防(IPS).网络安全监控(NSM)和离线pc ...

  4. NLP【05】pytorch实现glove词向量(附代码详解)

    上一篇:NLP[04]tensorflow 实现Wordvec(附代码详解) 下一篇:NLP[06]RCNN原理及文本分类实战(附代码详解) 完整代码下载:https://github.com/ttj ...

  5. snort create_mysql_构建简易Snort网络入侵检测系统(NIDS)

    构建简易Snort网络入侵检测系统(NIDS) TsengYia#126.com 2008.11.16 建立基于入侵特征规则库的SNORT NIDS系统. ###################### ...

  6. 如何辨别网络入侵检测系统(IDS)的性能

    信息来源:海浩论坛 一.概述 性能指标是每个用户采购安全产品必定关注的问题.但是,如果不知道这些指标的真实含义,不知道这些指标如何测出来,就会被表面的参数所蒙蔽,从而做出错误的决策. 本文介绍了网络入 ...

  7. 实验十六:网络入侵检测系统(IDS)的安装部署

    实验十六:网络入侵检测系统(IDS)的安装部署 一.实验目的及要求 1)了解入侵检测系统的基本概念和工作原理. 2)掌握snort入侵检测系统的安装和使用方法. 二.实验原理 1)入侵检测系统 入侵检 ...

  8. 【网络流量识别】【深度学习】【一】IRNN和LSTM—网络入侵检测系统深度学习方法的比较分析(N-IDS):N-IDS 的深度学习

    说在前面:由于博主刚入门学习网络流量识别和检测这块,所以对于一些介绍里面的理论知识可能会全部摘抄下来,不过本系列写着写着基础知识就会少了.然后写方法,简单写一下方法的原理和原理图,最后说一下数据集和结 ...

  9. 研究型论文_基于特征值分布和人工智能的网络入侵检测系统的研究与实现

    文章目录 基于特征值分布和人工智能的网络入侵检测系统的研究与实现 论文摘要 论文解决的问题 1.系统框架 2.数据集样例处理流程 3.DSM中定义的一些评分机制 4.训练过程模拟(重点来了) 总结 基 ...

最新文章

  1. shell的建立与执行实验报告_实验指导书--实验02 Linux Shell用户接口
  2. 时差法超声波流量计的原理
  3. Cognos8.3权限体系[转]
  4. php 修改图像大小,PHP图像大小调整
  5. p12解析流程_iOS证书及描述文件制作流程详解
  6. Apollo中Eureka,metaService,configService关系
  7. python excel超链接_在Python中保留Pandas中的超链接 – Excel到数据帧
  8. PeopleSoft 配置文件
  9. [反汇编练习] 160个CrackMe之023
  10. HDU2102(KB2-I)
  11. c语言程序设计韦良芬答案,论高职院校《C语言程序设计》的教学改革
  12. 中国为什么没有根域名服务器
  13. java使用wkhtmltopdf将html转换成pdf
  14. 【互联网广告】移动互联网广告
  15. sql Server2005 master损坏处理
  16. 云原生数据库整体架构和典型示例
  17. vue项目中高德地图根据城市名定位到城市中心位置,并在该位置做标记
  18. 微信小程序中 在xwml 中使用外部引入的 js进行判断计算
  19. JPEG2000 小波变换
  20. 为什么大电容滤低频小电容滤高频的问题

热门文章

  1. 计算机课程设计参考文献,近几年课程设计参考文献 课程设计参考文献有哪些...
  2. 大数据分析 - Taylor展开式的应用 - 指数函数 Exp(x)
  3. Minecraft的爆炸算法
  4. oracle 创建表定义主键,Oracle 学习----:创建表(主键自增)
  5. linux查看当前文化大小,Linux锐速当前连接数等状态查询
  6. 参与一个Python的开源项目Python-QQ
  7. php 腾讯短信接口api,关于腾讯云短信 API 成功调用的分享
  8. 10折交叉验证(10-fold Cross Validation)与留一法(Leave-One-Out)、分层采样(Stratification)...
  9. 用mysql设计数据库管理系统_MySQL数据库--学生管理系统数据库设计
  10. python爬虫,站长之家