support@suri-oculus.tech
Suri Oculus Project
View Categories

Log parser — daemonmove service

Оглавление

Парсер логов для Suri Oculus #

Система Suri Oculus взаимодействует с Suricata, обрабатывая её логи в двух режимах работы:

  1. Стандартный режим – Логи Suricata записываются в стандартный JSON-файл.
  2. Режим Redis (основной для Suri Oculus) – Логи отправляются напрямую в базу данных Redis.

Конфигурация eve-log в Suricata #

Стандартный режим: #

eve-log:
enabled: yes
filetype: regular # Варианты: regular | syslog | unix_dgram | unix_stream | redis
filename: eve.json

Режим Redis (основной для Suri Oculus): #

eve-log:
enabled: yes
filetype: redis # Варианты: regular | syslog | unix_dgram | unix_stream | redis
filename: eve.json

Обработка логов в зависимости от режима #

  • daemonmove – используется для работы с Redis.
  • daemonparser – используется для обработки логов в стандартном формате.

Запуск сервисов #

Оба сервиса запускаются стандартной командой в Linux:

systemctl start service_name

Результатом работы сервисов является распределение записей из eve.json по соответствующим ключам в базе данных или файловой системе.

Конфигурация daemonmove и daemonparser #

Файл конфигурации conf.cfg для службы daemonmove находится в каталоге:

/etc/redismove

Формат файла конфигурации:


# Файл конфигурации для приложения

application:
{
main:
{
title = "REDISMOVE";
version = "0.4.2";
date = "23 Mar 2024";
};

settings:
{
main_key = "suricata";
keys = ("alert", "anomaly", "dcerpc", "flow", "http", "dns", "drop", "stats_report", "fileinfo", "tls", "stats", "ftp", "sip", "smb", "snmp", "ssh", "flow_data", "tftp", "ssh", "bittorrent_dht", "rdp", "http2", "pqsql", "quic", "modbus");
valid_duration = 24;
log_file = "/var/log/suricata/eve.json";
temp_file = "/tmp/daemonparser/current";
};
};

Suricata events and output

Suri Oculus download page