Suricata Telegraf 输入插件

Suricata 是一款开源威胁检测引擎，为入侵检测系统 (IDS) 和入侵防御系统 (IPS) 提供支持。这些系统通过监控您的网络来保护您的网络免受威胁。它们检查流量并识别和报告安全问题。此插件获取 Suricata IDS/IPS 引擎输出的内部数据，并将其格式化为 Telegraf 可用的格式。

为什么使用 Suricata Telegraf 输入插件？

Suricata Telegraf 输入插件让您可以监控 Suricata 的内部性能计数器，包括捕获的流量、内存使用情况、正常运行时间、流计数器等。它还可以报告 Suricata IDS/IPS 警报。它获取 Suricata 输出的 JSON 数据并对其进行处理，以便于在 Telegraf 中使用。这使您可以监控 Suricata 在您的网络上的运行统计信息，并针对安全威胁采取措施。

如何使用 Telegraf 插件监控 Suricata

Suricata 以 JSON 格式输出包含统计信息的日志。要配置此插件并捕获该输出以与 Telegraf 一起使用，您可以在 Suricata 配置文件中创建一个额外的输出。您可以将该输出设置为您的源，选择用于展平字段键的分隔符，并设置是否还要检测警报日志。FreeBSD 用户应检查其本地缓冲区大小，以确保其有足够的内存来传输 Suricata 数据而不会截断数据。该插件无法正确处理截断的数据。Suricata 插件允许您监控网络上的 Suricata，以清楚地了解它是如何检测和阻止安全威胁的。

用于监控的关键 Suricata 指标

您应主动监控的一些重要 Suricata 指标包括

• suricata
  • 标签
    • thread: Global 用于全局统计信息（如果启用），线程 ID（例如 W#03-enp0s31f6）用于特定于线程的统计信息
  • 字段
    • app_layer_flow_dcerpc_udp
    • app_layer_flow_dns_tcp
    • app_layer_flow_dns_udp
    • app_layer_flow_enip_udp
    • app_layer_flow_failed_tcp
    • app_layer_flow_failed_udp
    • app_layer_flow_http
    • app_layer_flow_ssh
    • app_layer_flow_tls
    • app_layer_tx_dns_tcp
    • app_layer_tx_dns_udp
    • app_layer_tx_enip_udp
    • app_layer_tx_http
    • app_layer_tx_smtp
    • capture_kernel_drops
    • capture_kernel_packets
    • decoder_avg_pkt_size
    • decoder_bytes
    • decoder_ethernet
    • decoder_gre
    • decoder_icmpv4
    • decoder_icmpv4_ipv4_unknown_ver
    • decoder_icmpv6
    • decoder_invalid
    • decoder_ipv4
    • decoder_ipv6
    • decoder_max_pkt_size
    • decoder_pkts
    • decoder_tcp
    • decoder_tcp_hlen_too_small
    • decoder_tcp_invalid_optlen
    • decoder_teredo
    • decoder_udp
    • decoder_vlan
    • detect_alert
    • dns_memcap_global
    • dns_memuse
    • flow_memuse
    • flow_mgr_closed_pruned
    • flow_mgr_est_pruned
    • flow_mgr_flows_checked
    • flow_mgr_flows_notimeout
    • flow_mgr_flows_removed
    • flow_mgr_flows_timeout
    • flow_mgr_flows_timeout_inuse
    • flow_mgr_new_pruned
    • flow_mgr_rows_checked
    • flow_mgr_rows_empty
    • flow_mgr_rows_maxlen
    • flow_mgr_rows_skipped
    • flow_spare
    • flow_tcp_reuse
    • http_memuse
    • tcp_memuse
    • tcp_pseudo
    • tcp_reassembly_gap
    • tcp_reassembly_memuse
    • tcp_rst
    • tcp_sessions
    • tcp_syn
    • tcp_synack
• suricata_alert
  • 字段
    • action
    • gid
    • severity
    • signature
    • source_ip
    • source_port
    • target_port

项目 URL   文档