search
Knowledge BaseRelease NotesRequest Demo

Suricata 로그

Suricata 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 일반적인을 통해 Suricata 로그를 수집하는 것을 지원합니다 데이터 전송 옵션: Amazon Web Services (AWS) S3, SQS 및 CloudWatch.

hashtag
Suricata 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭하세요.

  4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르세요:

  5. Suricata를 구성하여 로그를 Data Transport 소스로 푸시합니다.

    • 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Suricata 문서를 참조하세요.

hashtag
지원되는 로그 유형

hashtag
Suricata.Alert

EVE JSON 출력의 Alert 이벤트 유형에 대한 Suricata 파서입니다.

자세한 내용은 Suricata 문서의 를 참조하세요

참고: Suricata.Alertarrow-up-right

hashtag
Suricata.Anomaly

EVE JSON 출력의 Anomaly 이벤트 유형에 대한 Suricata 파서입니다.

참고: EVE JSON 출력의 이상(Anomalies)에 대한 Suricata 문서.arrow-up-right

Column
Type
설명

anomaly

{ "code":bigint, "event":string, "layer":string, "type":string }

Suricata Anomaly Anomaly

app_proto

string

Suricata Anomaly AppProto

community_id

string

Suricata Anomaly CommunityID

dest_ip

string

Suricata Anomaly DestIP

dest_port

int

Suricata Anomaly DestPort

event_type

string

Suricata Anomaly EventType

flow_id

bigint

Suricata Anomaly FlowID

icmp_code

bigint

Suricata Anomaly IcmpCode

icmp_type

bigint

Suricata Anomaly IcmpType

metadata

{ "flowbits":[string], "flowints":{ "applayer_anomaly_count":bigint, "http_anomaly_count":bigint, "tcp_retransmission_count":bigint, "tls_anomaly_count":bigint } }

Suricata Anomaly Metadata

packet

string

Suricata Anomaly Packet

packet_info

{ "linktype":bigint }

Suricata Anomaly PacketInfo

pcap_cnt

bigint

Suricata Anomaly PcapCnt

pcap_filename

string

Suricata Anomaly PcapFilename

proto

bigint

Suricata Anomaly Proto

src_ip

string

Suricata Anomaly SrcIP

src_port

int

Suricata Anomaly SrcPort

timestamp

timestamp

Suricata Anomaly Timestamp

tx_id

bigint

Suricata Anomaly TxID

vlan

[bigint]

Suricata Anomaly Vlan

p_log_type

string

Panther가 로그 유형으로 추가한 필드

p_row_id

string

Panther가 고유 ID(테이블 내)로 추가한 필드

p_event_time

timestamp

Panther가 표준화된 이벤트 시간(UTC)으로 추가한 필드

p_parse_time

timestamp

Panther가 표준화된 로그 파싱 시간(UTC)으로 추가한 필드

p_source_id

string

Panther가 소스 ID로 추가한 필드

p_source_label

string

Panther가 소스 라벨로 추가한 필드

p_any_ip_addresses

[string]

행과 연관된 IP 주소 모음을 Panther가 추가한 필드

p_any_domain_names

[string]

행과 연관된 도메인 이름 모음을 Panther가 추가한 필드

p_any_sha1_hashes

[string]

행과 연관된 SHA1 해시 모음을 Panther가 추가한 필드

p_any_md5_hashes

[string]

행과 연관된 MD5 해시 모음을 Panther가 추가한 필드

p_any_sha256_hashes

[string]

행과 연관된 모든 알고리즘의 SHA256 해시 모음을 Panther가 추가한 필드

hashtag
Suricata.DHCP

EVE JSON 출력의 DHCP 이벤트 유형에 대한 Suricata 파서입니다.

참고: Suricata.DHCParrow-up-right

hashtag
Suricata.DNS

EVE JSON 출력의 DNS 이벤트 유형에 대한 Suricata 파서입니다.

참고: EVE JSON 출력 DNS에 대한 Suricata 문서.arrow-up-right

hashtag
Suricata.FileInfo

EVE JSON 출력의 FileInfo 이벤트 유형에 대한 Suricata 파서입니다.

참고: 파일 및 EVE 파일 정보 저장arrow-up-right.

hashtag
Suricata.Flow

EVE JSON 출력의 Flow 이벤트 유형에 대한 Suricata 파서입니다.

참고: Flow 이벤트 유형arrow-up-right.

hashtag
Suricata.HTTP

EVE JSON 출력의 HTTP 이벤트 유형에 대한 Suricata 파서입니다.

참고: HTTP 이벤트 유형arrow-up-right.

hashtag
Suricata.SSH

EVE JSON 출력의 SSH 이벤트 유형에 대한 Suricata 파서입니다.

참고: SSH 이벤트 유형arrow-up-right.

hashtag
Suricata.TLS

EVE JSON 출력의 TLS 이벤트 유형에 대한 Suricata 파서입니다.

참고: TLS 이벤트 유형arrow-up-right.

이전Sublime Security 로그다음Sysdig 로그

마지막 업데이트

도움이 되었나요?