Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка получения событий Zeek IDS

Вы можете настроить получение событий программы Zeek IDS версии 1.8 в

SIEM-систему
KUMA.

Настройка получения событий состоит из следующих этапов:

  1. Преобразование формата журнала событий Zeek IDS.

    Нормализатор KUMA поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.

  2. Создание коллектора KUMA для получения событий Zeek IDS.

    Для получения событий Suricata в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] ZEEK IDS json file, на шаге Транспорт выберите тип коннектора file.

  3. Установка коллектора KUMA для получения событий Zeek IDS.
  4. Проверка поступления событий Zeek IDS в коллектор KUMA.

    Вы можете проверить, что настройка сервера источника событий Zeek IDS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало
[Topic 265545]

Преобразование формата журнала событий Zeek IDS

По умолчанию события Zeek IDS записываются в файлы в каталог /opt/zeek/logs/current.

Нормализатор [OOTB] ZEEK IDS json file поддерживает работу с журналами Zeek IDS в формате JSON. Для передачи событий в нормализатор KUMA файлы журналов нужно преобразовать в формат JSON.

Эту процедуру нужно повторять каждый раз перед получением событий Zeek IDS.

Чтобы преобразовать формат журнала событий Zeek IDS:

  1. Подключитесь к серверу, на котором установлена программа Zeek IDS, под учётной записью, обладающей административными привилегиями.
  2. Создайте директорию, где будут храниться журналы событий в формате JSON, с помощью команды:

    sudo mkdir /opt/zeek/logs/zeek-json

  3. Перейдите в эту директорию с помощью команды:

    sudo cd /opt/zeek/logs/zeek-json

  4. Выполните команду, которая с помощью утилиты jq преобразует исходный формат журнала событий к необходимому:

    jq . -c <путь к файлу журнала, формат которого нужно изменить> >> <название нового файла>.log

    Пример:

    jq . -c /opt/zeek/logs/current/conn.log >> conn.log

В результате выполнения команды в директории /opt/zeek/logs/zeek-json будет создан новый файл, если такого ранее не существовало. Если такой файл уже был в текущей директории, то в конец файла будет добавлена новая информация.

В начало
[Topic 265550]