Bro日志地址到WSO2 CEP进行处理

Question

我有一个项目来执行bro日志的复杂事件处理，以检测任何安全延迟或攻击等等。我已经做了初步的调查，并发现bro生成各种日志文件，我可以让WSO2 CEP接收这些文件并编写Siddhi查询以进行事件处理。由于WSO2 CEP的事件接收方采用xml、json或text作为消息格式，我是否需要更改bro日志文件的格式，或者它们可以正常工作？因为我没有碰巧找到任何以标准日志文件作为事件接收器的WSO2CEP示例？

Answer 1

幸运的是，bro支持日志文件的json格式。我刚刚在ascii.bro文件中修改了一些默认选项，如

# to use json instead of `tsv` for all log files. It was F bydefault
const use_json = T &redef;
# to display timestamps in a standard format
const json_timestamps:JSON::TimestampFormat = JSON::TS_ISO8601 &redef;

现在，我将以所需的格式获取所有日志。

Answer 2

要实现这一点，您可以使用details tail事件接收器，然后使用RegEx从日志消息中提取细节，类似于这里提供的示例( WSO2CEP 4.1中的样例编号0022 )。

或者，您也可以编写一个客户机来提取日志，并将其作为XML或JSON事件发送到您喜欢的任何传输中。