zeek
Плагин zeek входит в состав YAML-плагинов processors и позволяет нормализовать различные логи Zeek в формате JSON.
Конфигурация
В конфигурацию плагина zeek входит лишь одно поле — type, определяющее тип лога Zeek (возможные типы можно увидеть здесь). Возможные значения поля:
| Тип | Описание |
|---|---|
| auto | Автоматическое определение типа лога |
| conn | Файлы conn.log |
| dce_rpc | Файлы dce_rpc.log |
| dhcp | Файлы dhcp.log |
| dnp3 | Файлы dnp3.log |
| dns | Файлы dns.log |
| ftp | Файлы ftp.log |
| http | Файлы http.log |
| irc | Файлы irc.log |
| kerberos | Файлы kerberos.log |
| modbus | Файлы modbus.log |
| modbus_register_change | Файлы modbus_register_change.log |
| my_sql | Файлы mysql.log |
| ntlm | Файлы ntlm.log |
| ntp | Файлы ntp.log |
| radius | Файлы radius.log |
| rdp | Файлы rdp.log |
| rfb | Файлы rfb.log |
| sip | Файлы sip.log |
| smb_commands | Файлы smb_cmd.log |
| smb_files | Файлы smb_files.log |
| smb_mapping | Файлы smb_mapping.log |
| smtp | Файлы smtp.log |
| snmp | Файлы snmp.log |
| socks | Файлы socks.log |
| ssh | Файлы ssh.log |
| ssl | Файлы ssl.log |
| syslog | Файлы syslog.log |
| tunnel | Файлы tunnel.log |
| files | Файлы files.log |
| ocsp | Файлы ocsp.log |
| pe | Файлы pe.log |
| x509 | Файлы x509.log |
| net_control | Файлы netcontrol.log |
| net_control_drop | Файлы netcontrol_drop.log |
| net_control_shunt | Файлы netcontrol_shunt.log |
| net_control_catch_release | Файлы netcontrol_catch_release.log |
| open_flow | Файлы openflow.log |
| intel | Файлы intel.log |
| notice | Файлы notice.log |
| notice_alarm | Файлы notice_alarm.log |
| signatures | Файлы signatures.log |
| traceroute | Файлы traceroute.log |
| known_certs | Файлы known_certs.log |
| known_hosts | Файлы known_hosts.log |
| known_modbus | Файлы known_modbus.log |
| known_services | Файлы known_services.log |
| software | Файлы software.log |
| dpd | Файлы dpd.log |
| unknown_protocols | Файлы unknown_protocols.log |
| weird | Файлы weird.log |
| weird_stats | Файлы weird_stats.log |
| broker | Файлы broker.log |
| capture_loss | Файлы capture_loss.log |
| cluster | Файлы cluster.log |
| config | Файлы config.log |
| loaded_scripts | Файлы loaded_scripts.log |
| packet_filter | Файлы packet_filter.log |
Файлы print.log | |
| reporter | Файлы reporter.log |
| stats | Файлы stats.log |
Пример
processors:
- module: zeek
type: conn