sov

Процессор SOV

Процессор sov (Suricata Online Viewer) генерирует URL для загрузки PCAP-файлов из системы записи трафика. URL формируется на основе метаданных сетевого потока из событий Suricata и записывается в поле ECS.Event.URL.

Процессор обрабатывает только события Suricata (с ECS.Event.Module = "suricata"). Все остальные события пропускаются без изменений.

Конфигурация

processors:
  - module: sov
    scheme: "https"
    host: "pcap.example.com"
    path-template: "/download-pcap?flow_start={{.FlowStart}}&flow_end={{.FlowEnd}}&timestamp={{.Ts}}&sensor_id={{.SensorID}}"

Параметр	Тип	По умолчанию	Описание
scheme	string	—	Схема URL (http или https)
host	string	—	Хост сервера записи трафика
path-template	string	/download-pcap?flow_start=...	Go-шаблон пути и параметров URL

Шаблон пути

Параметр path-template использует синтаксис Go templates с дополнительными функциями из библиотеки Sprig.

Доступные переменные шаблона:

Переменная	Тип	Описание
.FlowStart	time.Time	Время начала сетевого потока (из ECS.Event.Start)
.FlowEnd	time.Time	Время окончания сетевого потока (из ECS.Event.End)
.Ts	time.Time	Время события (CTime)
.SensorID	string	Идентификатор сенсора (из Sensor.ID)

Требования к событию

Для формирования URL процессор требует наличия в событии:

• ECS.Event.Module = "suricata" (обязательно — иначе событие пропускается)
• Sensor.ID (обязательно — непустая строка)
• ECS.Event.Start (опционально — время начала потока)
• ECS.Event.End (опционально — время окончания потока)

Пример

processors:
  - module: suricata
  - module: sov
    scheme: "https"
    host: "sov.internal.example.com"
    path-template: "/api/v1/pcap?start={{.FlowStart | date \"2006-01-02T15:04:05Z\"}}&end={{.FlowEnd | date \"2006-01-02T15:04:05Z\"}}&sensor={{.SensorID}}"

Результат — в событие будет добавлено поле:

ECS.Event.URL = "https://sov.internal.example.com/api/v1/pcap?start=2024-01-15T10%3A30%3A00Z&end=2024-01-15T10%3A31%3A00Z&sensor=abc123"

Значения параметров автоматически кодируются для безопасного использования в URL.