Suricata Telegraf输入插件

Suricata 是一款开源的威胁检测引擎，为入侵检测系统（IDS）和入侵预防系统（IPS）提供动力。这些系统通过监控网络以保护您的网络免受威胁。它们检查流量并识别和报告安全问题。此插件将 Suricata IDS/IPS 引擎输出的内部数据格式化为 Telegraf 可以使用的格式。

为什么使用 Suricata Telegraf 输入插件？

Suricata Telegraf 输入插件允许您监视 Suricata 的内部性能计数器，包括捕获的流量量、内存使用情况、运行时间、流量计数器等。它还可以报告 Suricata IDS/IPS 警报。它处理 Suricata 输出的 JSON 数据，以便在 Telegraf 中轻松使用。这使您能够监控 Suricata 在您的网络上的功能统计信息，并采取行动应对安全威胁。

如何使用 Telegraf 插件监控 Suricata

Suricata 输出包含统计信息的日志，格式为 JSON。要配置此插件并捕获该输出以供 Telegraf 使用，您可以在 Suricata 配置文件中创建一个额外的输出。您将其设置为源，选择一个分隔符以平坦字段键，并设置是否也想要检测警报日志。FreeBSD 用户应检查其本地缓冲区大小，以确保有足够的内存来传输 Suricata 数据而不会截断它。插件无法正确处理截断数据。Suricata 插件允许您在网络中监控 Suricata，以清楚地了解其检测和阻止安全威胁的方式。

用于监控的关键 Suricata 指标

您应积极监控的一些重要 Suricata 指标包括

• suricata
  • tags
    • thread: Global 用于全局统计信息（如果启用），线程 ID（例如 W#03-enp0s31f6）用于特定于线程的统计信息
  • fields
    • app_layer_flow_dcerpc_udp
    • app_layer_flow_dns_tcp
    • app_layer_flow_dns_udp
    • app_layer_flow_enip_udp
    • app_layer_flow_failed_tcp
    • app_layer_flow_failed_udp
    • app_layer_flow_http
    • app_layer_flow_ssh
    • app_layer_flow_tls
    • app_layer_tx_dns_tcp
    • app_layer_tx_dns_udp
    • app_layer_tx_enip_udp
    • app_layer_tx_http
    • app_layer_tx_smtp
    • capture_kernel_drops
    • capture_kernel_packets
    • decoder_avg_pkt_size
    • decoder_bytes
    • decoder_ethernet
    • decoder_gre
    • decoder_icmpv4
    • decoder_icmpv4_ipv4_unknown_ver
    • decoder_icmpv6
    • decoder_invalid
    • decoder_ipv4
    • decoder_ipv6
    • decoder_max_pkt_size
    • decoder_pkts
    • decoder_tcp
    • decoder_tcp_hlen_too_small
    • decoder_tcp_invalid_optlen
    • decoder_teredo
    • decoder_udp
    • decoder_vlan
    • detect_alert
    • dns_memcap_global
    • dns_memuse
    • flow_memuse
    • flow_mgr_closed_pruned
    • flow_mgr_est_pruned
    • flow_mgr_flows_checked
    • flow_mgr_flows_notimeout
    • flow_mgr_flows_removed
    • flow_mgr_flows_timeout
    • flow_mgr_flows_timeout_inuse
    • flow_mgr_new_pruned
    • flow_mgr_rows_checked
    • flow_mgr_rows_empty
    • flow_mgr_rows_maxlen
    • flow_mgr_rows_skipped
    • flow_spare
    • flow_tcp_reuse
    • http_memuse
    • tcp_memuse
    • tcp_pseudo
    • tcp_reassembly_gap
    • tcp_reassembly_memuse
    • tcp_rst
    • tcp_sessions
    • tcp_syn
    • tcp_synack
• suricata_alert
  • fields
    • action
    • gid
    • severity
    • signature
    • source_ip
    • source_port
    • target_port

项目 URL   文档