<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Nov 11, 2013 at 10:17 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class=""><div class="h5">On 11/10/2013 05:18 AM, Stephen Watson wrote:<br>
> Hi,<br>
><br>
><br>
><br>
> Is there any recommended log file viewer for the http.log, for an end<br>
> user who doesn’t have shell access ?   Preferably something that will<br>
> run on rails like Snorby as I don’t want to install Apache.   There is<br>
> software out there like the Awstats, webalizer etc, but its more for<br>
> webserver and incoming traffic, I was just after something that would<br>
> show each web page request and perhaps allow a search.   Shame Snorby<br>
> can’t do it.<br>
><br>
<br>
</div></div>In Luxembourg Peter created some scripts to feed the fast.log and<br>
http.log into Logstash.<br>
<br>
@Peter where can the scripts be found?<br>
<span class=""></span></blockquote><div><br><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/_Logstash_Kibana_and_Suricata_JSON_output">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/_Logstash_Kibana_and_Suricata_JSON_output</a><br>
This above is for files JSON output that we currently have.<br><br>With Suricata 2.0 there will be JSON outputs for dns/http/tls/alert/files - then you could use the same article and just add the output files to your Logstash config. Just 30 days of patience :) - <a href="https://redmine.openinfosecfoundation.org/projects/suricata/roadmap">https://redmine.openinfosecfoundation.org/projects/suricata/roadmap</a><br>
<br>However if you insist on parsing http.log with Logstash/Kibana right away with Suricata 1.4.6 , you can - it is just that you have to create a custom regex and feed it to Logstash - very tricky!  And by the time you do it, have it up and running, then after a couple of weeks you wouldn't have had the need to do it and use it, since the http.log in Suricata 2.0 is planned to have the JSON output support which is natively parsed by Logstash.<br>
</div><div><br><br></div><div>Thanks<br></div><div><br> </div></div>-- <br><div>Regards,</div>
<div>Peter Manev</div>
</div></div>