::orphan: 本文档未在目录树中引用,故添加此说明。 .. _unified2-removed: Unified2输出功能移除 ----------------------- 自Suricata 6.0版本起,Unified2输出功能已被移除。传统的Unified2格式缺乏Eve格式的灵活性,且与其他工具的集成难度显著更高。当前推荐的输出方式是 :ref:`eve` 。 数据包(载荷)记录功能 ------------------------ 默认情况下,Eve不会像Unified2那样记录数据包或载荷。但可以通过启用Eve告警日志中的payload选项实现此功能。该选项会以base64格式记录载荷,以保持与Eve日志JSON格式的兼容性。 需要特别注意的是,虽然Eve确实提供了记录数据包的选项,但只有payload选项才能提供与Unified2输出等效的数据。 迁移工具 --------------- Meer工具 ~~~~ Meer是一款Eve日志处理工具,能够将Eve日志导入兼容Barnyard2的数据库。如果您原先使用Unified2的目的是将Suricata事件存入此类数据库(供Snorby/BASE等工具使用),那么该工具可作为Barnyard2的替代方案。 更多关于Meer的信息可通过其GitHub项目页面获取: `https://github.com/beave/meer `_ 。 .. note:: 请注意,OISF及Suricata开发团队既不支持也不维护Meer工具。