search
Knowledge BaseRelease NotesRequest Demo

Suricata 로그

Suricata 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 일반적인 수단을 통해 Suricata 로그 수집을 지원합니다 데이터 전송 옵션을 통해 Nginx 로그 수집을 지원합니다: Amazon Web Services(AWS) S3, SQS 및 CloudWatch.

hashtag
Suricata 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

  2. 클릭 새로 만들기.

  3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다.

  4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르십시오:

  5. Suricata를 구성하여 로그를 Data Transport 소스로 푸시합니다.

    • 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Suricata 문서를 참조하세요.

hashtag
지원되는 로그 유형

hashtag
Suricata.Alert

EVE JSON 출력의 Alert 이벤트 유형을 위한 Suricata 파서입니다.

자세한 내용은 Suricata 문서의 다음을 참조하세요

참조: Suricata.Alertarrow-up-right

hashtag
Suricata.Anomaly

EVE JSON 출력의 Anomaly 이벤트 유형을 위한 Suricata 파서입니다.

참조: EVE JSON 출력의 이상(Anomalies)에 관한 Suricata 문서입니다.arrow-up-right

유형
설명

anomaly

{ "code":bigint, "event":string, "layer":string, "type":string }

Suricata Anomaly Anomaly

app_proto

string

Suricata Anomaly AppProto

community_id

string

Suricata Anomaly CommunityID

dest_ip

string

Suricata Anomaly DestIP

dest_port

int

Suricata Anomaly DestPort

event_type

string

Suricata Anomaly EventType

flow_id

bigint

Suricata Anomaly FlowID

icmp_code

bigint

Suricata Anomaly IcmpCode

icmp_type

bigint

Suricata Anomaly IcmpType

metadata

{ "flowbits":[string], "flowints":{ "applayer_anomaly_count":bigint, "http_anomaly_count":bigint, "tcp_retransmission_count":bigint, "tls_anomaly_count":bigint } }

Suricata Anomaly Metadata

packet

string

Suricata Anomaly Packet

packet_info

{ "linktype":bigint }

Suricata Anomaly PacketInfo

pcap_cnt

bigint

Suricata Anomaly PcapCnt

pcap_filename

string

Suricata Anomaly PcapFilename

proto

bigint

Suricata Anomaly Proto

src_ip

string

Suricata Anomaly SrcIP

src_port

int

Suricata Anomaly SrcPort

timestamp

timestamp

Suricata Anomaly Timestamp

tx_id

bigint

Suricata Anomaly TxID

vlan

[bigint]

Suricata Anomaly Vlan

p_log_type

string

로그 유형을 가진 Panther가 추가한 필드

p_row_id

string

테이블 내 고유 ID를 가진 Panther가 추가한 필드

p_event_time

timestamp

표준화된 이벤트 시간(UTC)을 Panther가 추가한 필드

p_parse_time

timestamp

표준화된 로그 파싱 시간(UTC)을 Panther가 추가한 필드

p_source_id

string

소스 ID를 가진 Panther가 추가한 필드

p_source_label

string

소스 라벨을 가진 Panther가 추가한 필드

p_any_ip_addresses

[string]

행과 관련된 IP 주소들의 모음을 가진 Panther가 추가한 필드

p_any_domain_names

[string]

행과 관련된 도메인 이름들의 모음을 가진 Panther가 추가한 필드

p_any_sha1_hashes

[string]

행과 관련된 SHA1 해시들의 모음을 가진 Panther가 추가한 필드

p_any_md5_hashes

[string]

행과 관련된 MD5 해시들의 모음을 가진 Panther가 추가한 필드

p_any_sha256_hashes

[string]

행과 관련된 모든 알고리즘의 SHA256 해시들의 모음을 가진 Panther가 추가한 필드

hashtag
Suricata.DHCP

EVE JSON 출력의 DHCP 이벤트 유형을 위한 Suricata 파서입니다.

참조: Suricata.DHCParrow-up-right

hashtag
Suricata.DNS

EVE JSON 출력의 DNS 이벤트 유형을 위한 Suricata 파서입니다.

참조: EVE JSON 출력의 DNS에 관한 Suricata 문서입니다.arrow-up-right

hashtag
Suricata.FileInfo

EVE JSON 출력의 FileInfo 이벤트 유형을 위한 Suricata 파서입니다.

참조: EVE 파일 정보 저장 및 파일arrow-up-right.

hashtag
Suricata.Flow

EVE JSON 출력의 Flow 이벤트 유형을 위한 Suricata 파서입니다.

참조: Flow 이벤트 유형arrow-up-right.

hashtag
Suricata.HTTP

EVE JSON 출력의 HTTP 이벤트 유형을 위한 Suricata 파서입니다.

참조: HTTP 이벤트 유형arrow-up-right.

hashtag
Suricata.SSH

EVE JSON 출력의 SSH 이벤트 유형을 위한 Suricata 파서입니다.

참조: SSH 이벤트 유형arrow-up-right.

hashtag
Suricata.TLS

EVE JSON 출력의 TLS 이벤트 유형을 위한 Suricata 파서입니다.

참조: TLS 이벤트 유형arrow-up-right.

PreviousSublime Security 로그NextSysdig 로그

Last updated

Was this helpful?