如何从 suricata 中的 lua 脚本获取社区 ID

How to get community id from lua script in suricata

提问人:Vignesh 提问时间:11/19/2022 更新时间:3/6/2023 访问量:92

问:

我正在使用带有社区 ID 的 suricata 来关联 zeek 和 suricata 日志。我需要获取 lua 脚本中每个元组的社区 id 值。
有没有办法使用 lua 获取 suricata 的社区 ID?

Lua suricata Zeek

评论

0赞 brance 11/19/2022
请提供更多详细信息,以便回答问题。
0赞 Vignesh 11/19/2022
我想知道是否有任何方法可以使用 lua 脚本从 suricata 获取community_id。community_id将添加到eve.json。我需要访问我从 suricata.yaml 调用的 lua 函数中的值。

答:

0赞 Jufajardini 3/6/2023 #1

Suricata 中提供了一组有限的 Lua 函数(参见 https://suricata.readthedocs.io/en/latest/lua/lua-functions.html#lua-functions)。

如果你真的必须为此使用 Lua 脚本,我想你可以在本地向你的 Suri 添加一些东西,尽管这可能有点复杂,因为社区 ID 仅在 EVE 日志生成期间计算。

额外:如果 Lua 不是强制性的,那么对于从 EVE 日志中提取您需要的信息可能会有很大帮助,然后您可以轻松访问更多内容。jqcommunity_id

上一个:在 Windows 中启动服务之前如何等待网络连接?

下一个:Highcharts 重绘问题:更新时线绘制不一致