.. _eve:

19.1. EVE

• 19.1.1. EVE JSON 输出
  • 19.1.1.1. 输出缓冲
  • 19.1.1.2. 输出类型
  • 19.1.1.3. 告警
  • 19.1.1.4. 异常
  • 19.1.1.5. HTTP
  • 19.1.1.6. DNS
  • 19.1.1.7. TLS
  • 19.1.1.8. ARP
  • 19.1.1.9. Netflow
  • 19.1.1.10. MQTT
  • 19.1.1.11. 丢包记录
  • 19.1.1.12. 统计
    • 19.1.1.12.1. 零值计数器
  • 19.1.1.13. 文件名中的日期修饰符
  • 19.1.1.14. 多线程文件输出
  • 19.1.1.15. 日志轮转
  • 19.1.1.16. 多记录器实例
  • 19.1.1.17. 文件权限
  • 19.1.1.18. JSON标志
  • 19.1.1.19. 社区流ID
• 19.1.2. EVE JSON格式
  • 19.1.2.1. 公共部分
    • 19.1.2.1.1. 字段: flow_id
    • 19.1.2.1.2. 事件类型
    • 19.1.2.1.3. PCAP字段
  • 19.1.2.2. 事件类型: Alert
    • 19.1.2.2.1. Action字段
    • 19.1.2.2.2. Verdict
    • 19.1.2.2.3. Pcap字段
  • 19.1.2.3. 事件类型: Anomaly
    • 19.1.2.3.1. 字段
    • 19.1.2.3.2. 示例
• 19.1.3. Eve JSON 'jq' 使用示例
  • 19.1.3.1. 彩色输出
  • 19.1.3.2. DNS NXDOMAIN响应
  • 19.1.3.3. 独特的HTTP用户代理
  • 19.1.3.4. 主机数据使用量
  • 19.1.3.5. 监控部分统计信息
  • 19.1.3.6. 检查警报数据
  • 19.1.3.7. Top 10目标端口