网络入侵检测系统之Suricata(三)--日志代码详解
Log Module
Q1:suricata日志以什么文件格式存储?
分为三类:json、log,pcap格式
Q2:suricata日志都分了哪些级别?
日志level分为:Emergency、Alert、Critical、Error、Warning、Notice、Info,Debug
Q3:suricata日志记录哪些信息,内容以什么形式组织的?
- eve.json
suricata所有的告警,元数据,文件信息和特定协议记录都会记录在eve.json中,事件类型 分为alert、http、dns、tls,drop
- fast.log
- http.log
- dns.log
stats.log
drop.log
被丢弃的报文合集log.pcap.timestamp
pcap报文自定义日志输出
利用Lua脚本,只需要重写4个函数:init(),setup(),log(),deinit()
即可以自定义日志输出格式
Q4:suricata用什么技术记录这些日志的?
Suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)。在这种模式下,来自每一路流的数据包被分配给单一的检测线程。
Suricata上电时,通过yaml配置文件将需要激活的output module以全局变量链表list串联起来,检测线程将数据送到output queque后,Output线程查看output_queue,队列里面是通用数据,接着会按active register依次将通用数据转换成不同种类日志,并完成打印日志
Q5:suricata写盘的时机是怎么样的?
autofp模式会产生一个outputs线程,再检测线程检测完毕后,会调用output线程,告知其新数据来了,然后outputs统一将output_queue数据写盘
Code Review
日志实现原理
日志数据流
网络入侵检测系统之Suricata(三)--日志代码详解相关推荐
- 网络入侵检测系统之Suricata(四)--初始化模块代码详解
initial Module 初始化流程 初始化Suricata instance 用来保存程序当前的一些状态.标志等上下文环境,通常是用来作为参数传递给各个模块的子函数 memset(suri, 0 ...
- 网络入侵检测系统之Suricata(七)--DDOS流量检测模型
Suricata支持DDOS流量检测模型 What 分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序 ...
- 网络入侵检测系统之Suricata(一)
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS).内联入侵预防(IPS).网络安全监控(NSM)和离线pc ...
- NLP【05】pytorch实现glove词向量(附代码详解)
上一篇:NLP[04]tensorflow 实现Wordvec(附代码详解) 下一篇:NLP[06]RCNN原理及文本分类实战(附代码详解) 完整代码下载:https://github.com/ttj ...
- snort create_mysql_构建简易Snort网络入侵检测系统(NIDS)
构建简易Snort网络入侵检测系统(NIDS) TsengYia#126.com 2008.11.16 建立基于入侵特征规则库的SNORT NIDS系统. ###################### ...
- 如何辨别网络入侵检测系统(IDS)的性能
信息来源:海浩论坛 一.概述 性能指标是每个用户采购安全产品必定关注的问题.但是,如果不知道这些指标的真实含义,不知道这些指标如何测出来,就会被表面的参数所蒙蔽,从而做出错误的决策. 本文介绍了网络入 ...
- 实验十六:网络入侵检测系统(IDS)的安装部署
实验十六:网络入侵检测系统(IDS)的安装部署 一.实验目的及要求 1)了解入侵检测系统的基本概念和工作原理. 2)掌握snort入侵检测系统的安装和使用方法. 二.实验原理 1)入侵检测系统 入侵检 ...
- 【网络流量识别】【深度学习】【一】IRNN和LSTM—网络入侵检测系统深度学习方法的比较分析(N-IDS):N-IDS 的深度学习
说在前面:由于博主刚入门学习网络流量识别和检测这块,所以对于一些介绍里面的理论知识可能会全部摘抄下来,不过本系列写着写着基础知识就会少了.然后写方法,简单写一下方法的原理和原理图,最后说一下数据集和结 ...
- 研究型论文_基于特征值分布和人工智能的网络入侵检测系统的研究与实现
文章目录 基于特征值分布和人工智能的网络入侵检测系统的研究与实现 论文摘要 论文解决的问题 1.系统框架 2.数据集样例处理流程 3.DSM中定义的一些评分机制 4.训练过程模拟(重点来了) 总结 基 ...
最新文章
- shell的建立与执行实验报告_实验指导书--实验02 Linux Shell用户接口
- 时差法超声波流量计的原理
- Cognos8.3权限体系[转]
- php 修改图像大小,PHP图像大小调整
- p12解析流程_iOS证书及描述文件制作流程详解
- Apollo中Eureka,metaService,configService关系
- python excel超链接_在Python中保留Pandas中的超链接 – Excel到数据帧
- PeopleSoft 配置文件
- [反汇编练习] 160个CrackMe之023
- HDU2102(KB2-I)
- c语言程序设计韦良芬答案,论高职院校《C语言程序设计》的教学改革
- 中国为什么没有根域名服务器
- java使用wkhtmltopdf将html转换成pdf
- 【互联网广告】移动互联网广告
- sql Server2005 master损坏处理
- 云原生数据库整体架构和典型示例
- vue项目中高德地图根据城市名定位到城市中心位置,并在该位置做标记
- 微信小程序中 在xwml 中使用外部引入的 js进行判断计算
- JPEG2000 小波变换
- 为什么大电容滤低频小电容滤高频的问题
热门文章
- 计算机课程设计参考文献,近几年课程设计参考文献 课程设计参考文献有哪些...
- 大数据分析 - Taylor展开式的应用 - 指数函数 Exp(x)
- Minecraft的爆炸算法
- oracle 创建表定义主键,Oracle 学习----:创建表(主键自增)
- linux查看当前文化大小,Linux锐速当前连接数等状态查询
- 参与一个Python的开源项目Python-QQ
- php 腾讯短信接口api,关于腾讯云短信 API 成功调用的分享
- 10折交叉验证(10-fold Cross Validation)与留一法(Leave-One-Out)、分层采样(Stratification)...
- 用mysql设计数据库管理系统_MySQL数据库--学生管理系统数据库设计
- python爬虫,站长之家