我已经按照一些说明在此处设置 Graylog 和 Snort(不过我使用了 Suricata) ,但如果能够看到生成事件的警报负载是什么,那就太好了。
一个名为Snorby的应用程序曾经很好地做到了这一点。您可以查看有效负载的十六进制转储,以更好地确定事件的严重性。据我所知,Snorby 的开发在很久以前就停止了。有谁知道是否有办法通过 Graylog/Suricata 获得这种功能?我想如果 Suricata 可以以某种方式保存有效载荷,它可能会以某种方式发送到 Graylog,只是不确定哪种机制是最好的。
我使用EveBox查看 Suricata 的警报、事件等。如果您使用 Elasticsearch,它还可以显示图表报告。
EveBox 是用于 Elastic Search 的基于 Web 的 Suricata“eve”事件查看器。
特征: