Suricata通过filebeat将告警事件送往Kafka,ElasticSearch

Suricata通过filebeat将告警事件送往Kafka,ElasticSearch
原创姚贤贤发布于2019-02-15 16:15:01 阅读数 367 收藏
展开
Suricata可以通过logstash将告警事件送往Kafka,ElasticSearch,其实filebeat也可以用来代替logstash,更轻量级，消耗更低性能
配置文件filebeat.yml

复制代码

filebeat.inputs:
- type: log
enabled: true
paths:
- /suricatalog/eve.json
#json.keys_under_root: true #解析json，将json中的字段都放到根节点
#json.overwrite_keys: true #配合上一条使用，如果解析出来的字段名和跟节点的字段名相同则覆盖
output.kafka:
# initial brokers for reading cluster metadata
hosts: ["10.42.107.170:9092"]
# message topic selection + partitioning
topic: 'alert'
partition.round_robin:
reachable_only: false

required_acks: 1
compression: gzip
max_message_bytes: 1000000

复制代码

启动filebeat
./filebeat -e
————————————————
版权声明：本文为CSDN博主「姚贤贤」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/u011311291/article/details/87368209

posted @ 2020-01-02 17:43 rebeca8 阅读(942) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

【推荐】还在用 ECharts 开发大屏？试试这款永久免费的开源 BI 工具！
【推荐】国内首个AI IDE，深度理解中文开发场景，立即下载体验Trae
【推荐】编程新体验，更懂你的AI，立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包，你的智能百科全书，全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell：AI 加持，快人一步

编辑推荐：
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列：如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列：如何用 C#调用 C方法造成内存泄露

阅读排行：
· 震惊！C++程序真的从main开始吗？99%的程序员都答错了
· 【硬核科普】Trae如何「偷看」你的代码？零基础破解AI编程运行原理
· 单元测试从入门到精通
· 上周热点回顾（3.3-3.9）
· Vue3状态管理终极指南：Pinia保姆级教程

<

2025年3月

>

日

一

二

三

四

五

六

23

24

25

26

27

28

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

公告

昵称： rebeca8
园龄： 7年11个月
粉丝： 31
关注： 5

随笔分类 (11)

随笔档案 (273)

阅读排行榜

评论排行榜

推荐排行榜

最新评论

1. Re:在中国登陆的国际光缆系统-2010年
--rebeca8
2. Re:Linux无图形界面环境使用Python+Selenium实践（转载）
--rebeca8
3. Re:以太网最小帧长为什么是64字节
“512位时是主机捕获信道的时间。如果某主机发送一个帧的64字节仍无冲突，以后也就不会再发生冲突了，称此主机捕获了信道”，这是在仅有两个设备相连的情况把，如果拓朴是一个星型，并不能保证
--mendge01
4. Re:Linux TCP内核参数设置与调优(详细)！-转载
--rebeca8
5. Re:Linux TCP内核参数设置与调优(详细)！-转载
这个文章中有提到这个关键参数的使用
--rebeca8
6. Re:[数据分析与可视化] Python绘制数据地图3-GeoPandas使用要点-转载
--rebeca8
7. Re:[数据分析与可视化] Python绘制数据地图3-GeoPandas使用要点-转载
--rebeca8
8. Re:ssh端口转发方案，本地，远端等方案
远程端口转发是在host3上执行 ssh -R 2121:host2:21 root@host17 然后在host2上 ssh -L [收听接口:]收听端口:目标主机:目标端口 username@ho...
--rebeca8
9. Re:华三讲堂：Overlay网络与物理网络的关系转载
--rebeca8
10. Re:flannel 和calico对比转载
原文
--rebeca8
11. Re:QoS in RoCE
链接貌似都跳不到原文了，博主还能找到文章吗
--Biangbangbing
12. Re:TCP窗口扩大选项
第5条 kind=3 为扩大因子字段，这个扩大因子字段长度只有1个字节（8bit）吧，
扩大因子最大是2^{8=256，不能是2} 14吧？
--wefjack
13. Re:intel I350千兆网卡datasheet说明+intel core i53570说明
reference： linux pcie sr-iov配置《》Ubuntu系统开启Intel千兆网卡SR-IOV...
--rebeca8
14. Re:关于docker的经典解释链接
--rebeca8
15. Re:eBPF原理介绍与C语言实现eBPF程序
Linux version 4.15.0-190-generic (gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04))
--rebeca8
16. Re:eBPF原理介绍与C语言实现eBPF程序
centos真的是太老了，最终放弃改用ubuntu了，白瞎了用了这么多年的Centos
--rebeca8
17. Re:eBPF原理介绍与C语言实现eBPF程序
最关键的部分：由于要使用CLANG和LLVM来编译eBPF程序，而CentOS7上默认yum安装的CLANG和LLVM的版本比较老，不支持eBPF的编译。可以从这个repo中安装, 在/etc/yu...
--rebeca8
18. Re:samba服务器搭建
smbclient -L 192.168.1.1 -U username
--rebeca8
19. Re:samba服务器搭建
这样可以通过cifs文件形式，多台机器共享一个samba目录，同时server做好权限控制
--rebeca8
20. Re:为什么Firefox在SSH上这么慢？
arcfour,blowfish-cbc好像已经在新版ssh里不支持了，然后如果先ssh连接服务器，再ssh -YC4c arcfour,blowfish-cbc user@hostname fire...
--bin(^^)
21. Re:DSMARK queuing discipline (http://softwareopal.com/qos/default.php?p=ds-29)
tc怎么使用的文档说明
--rebeca8
22. Re:DSMARK queuing discipline (http://softwareopal.com/qos/default.php?p=ds-29)
原始的链接如下：
--rebeca8
23. Re:数据中心内部去堆叠方案介绍
M-LAG的核心是让两台接入交换机以同一个状态和被接入的设备（server）进行链路聚合协商，让这个设备（server）看起来是和一个设备在进行多链路聚合链接。 M-LAG的核心是让两台switch以...
--rebeca8
24. Re:数据中心内部去堆叠方案介绍
--rebeca8
25. Re:数据中心内部去堆叠方案介绍
Ray-TLS-WebSocket-Nginx-with-Cloudflare.html#%E5%AE%89%E8%A3%85-Nginx
--rebeca8
26. Re:数据中心内部去堆叠方案介绍
--rebeca8
27. Re:数据中心内部去堆叠方案介绍
--rebeca8
28. Re:通过MacOS的ssh远程打开linux的firefox(通过X11协议实现图形化显示)
--rebeca8
29. Re:nvalid signature for Kali Linux repositories : “The following signatures were invalid: 解决方法
再看看华为Mate30 拆解后有多少自研芯片：海思Hi6421电源管理IC 海思Hi6422电源管理IC 海思Hi6526电池管理IC 海思Hi6405音频编解码器海思Hi656211电源管理IC...
--rebeca8
30. Re:nvalid signature for Kali Linux repositories : “The following signatures were invalid: 解决方法
kodi毕竟还是基于安卓版的，功能还是有所限制，动手能力强的建议直接coreelec（linux版kodi）
--rebeca8
31. Re:nvalid signature for Kali Linux repositories : “The following signatures were invalid: 解决方法
OpenStack及其网络组件Neutron、Open vSwitch、DPDK SDN控制器(OVN/Floodlight/ODL) K8S及CNI(Docker/K8S/Flannel/ Cali...
--rebeca8
32. Re:elk + suricata 实验环境详细安装教程
你好，请问一下，Kibana中的仪表盘是如何得知logstash导入的索引位置的。在哪里配置的
--m01ly
33. Re:CentOS7 安装Xfce桌面环境
首先需要解决几个基本问题：一、什么是股票期权(Option) 股票期权是一种建立在买方和卖方之间合约或叫约定。这种合约给了买方在特定价格(Strike Price)买入或卖出一只股票的权利。当然这种...
--rebeca8
34. Re:CentOS7 安装Xfce桌面环境
curl ifconfig.me curl icanhazip.com curl curlmyip.com curl ip.appspot.com curl ipinfo.io/ip curl ipe...
--rebeca8
35. Re:FPGA做正则匹配和网络安全，究竟有多大的优势？
这是哪篇文章吗？不见文献和图
--灰光
36. Re:在centos7 部署bbr
centos 8 不需要单独安装bbr，因为内核已经集成了，所以如果想要在centos8上启用bbr，只需要做少量的设置就可以搞定了。centos8 开启安装 BBR首先Centos8 不需要安装BB...
--rebeca8
37. Re:Docker 安装ELK之 zz
Elasticsearch无法运行如果在经常遇到的问题中列出的建议没有帮助，那么另一种解决Elasticsearch无法启动的方法是：用bash命令启动容器： sudo docker run -it ...
--rebeca8
38. Re:Docker 安装ELK之 zz
ElasticSearch启动报错，bootstrap checks failed原创Lyle-liang 发布于2018-05-18 18:11:58 阅读数 29594 收藏展开修改elastic...
--rebeca8
39. Re:Iperf使用方法与参数说明
iperf 版本建议采用linux版本，事实上，windows版也很好用。带宽测试通常采用UDP模式，因为能测出极限带宽、时延抖动、丢包率。在进行测试时，首先以链路理论带宽作为数据发送速率进行测试，例...
--rebeca8
40. Re:Iperf使用方法与参数说明
-w 表示tcp window size（socket buffer size）
--rebeca8