Преобразование формата журнала событий Zeek IDS

По умолчанию события Zeek IDS записываются в файлы в каталог /opt/zeek/logs/current.

Нормализатор [OOTB] ZEEK IDS json file поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.

Эту процедуру нужно повторять каждый раз перед получением событий Zeek IDS.

Чтобы преобразовать формат журнала событий Zeek IDS:

  1. Подключитесь к серверу, на котором установлена программа Zeek IDS, под учётной записью, обладающей административными привилегиями.
  2. Создайте директорию, где будут храниться журналы событий в формате JSON, с помощью команды:

    sudo mkdir /opt/zeek/logs/zeek-json

  3. Перейдите в эту директорию с помощью команды:

    sudo cd /opt/zeek/logs/zeek-json

  4. Выполните команду, которая с помощью утилиты jq преобразует исходный формат журнала событий к необходимому:

    jq . -c <путь к файлу журнала, формат которого нужно изменить> >> <название нового файла>.log

    Пример:

    jq . -c /opt/zeek/logs/current/conn.log >> conn.log

В результате выполнения команды в директории /opt/zeek/logs/zeek-json будет создан новый файл, если такого ранее не существовало. Если такой файл уже был в текущей директории, то в конец файла будет добавлена новая информация.

В начало