<div dir="ltr">Is anyone successfully using multiple eve json methods?<div><br></div><div>Note that I'm using Suricata 2.1beta2<br><div><br></div><div>For details see: <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/EveJSONOutput">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/EveJSONOutput</a><br clear="all"><div><br></div><div>I'm currently attempting to output to both a file and syslog. I'm sidestepping the eve-logging syslog output problems by enabling "standard" syslog alert output, which generates redundant alerts, but otherwise works to set the facility and identity of eve-log. (See: <a href="https://redmine.openinfosecfoundation.org/issues/1204">https://redmine.openinfosecfoundation.org/issues/1204</a>)</div><div><br></div><div>I'm having no luck. I either get either syslog output or file output, depending on the order of the eve-log entries. Never both. The second eve-log appears to override the first, which is not the behavior I'd expect after reading: <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/EveJSONOutput">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/EveJSONOutput</a></div><div><br></div><div>Below are the relevant snippets from the suricata.yaml:</div><div><br></div><div><br></div><div>outputs:</div><div><div>  - syslog:</div><div>      enabled: yes</div><div>      # reported identity to syslog. If ommited the program name (usually</div><div>      # suricata) will be used.</div><div>      identity: "suricata"</div><div>      facility: local5</div><div>      level: Info ## possible levels: Emergency, Alert, Critical,</div><div>      ## Error, Warning, Notice, Info, Debug</div><div><br></div><div>  # Extensible Event Format (nicknamed EVE) event log in JSON format</div><div>  - eve-log:</div><div>      enabled: yes</div><div>      type: syslog #file|syslog|unix_dgram|unix_stream</div><div>      # the following are valid when type: syslog above</div><div>      identity: "suricata"</div><div>      facility: local5</div><div>      level: Info ## possible levels: Emergency, Alert, Critical,</div><div>                   ## Error, Warning, Notice, Info, Debug</div><div>      types:</div><div>        - alert:</div><div>             payload-printable: yes # enable dumping payload in printable (lossy) format</div><div><br></div><div>  - eve-log:</div><div>      enabled: yes</div><div>      type: file #file|syslog|unix_dgram|unix_stream</div><div>      filename: eve-port1.json</div><div>      # the following are valid when type: syslog above</div><div>      #identity: "suricata"</div><div>      #facility: local5</div><div>      #level: Info ## possible levels: Emergency, Alert, Critical,</div><div>                   ## Error, Warning, Notice, Info, Debug</div><div>      types:</div><div>        - alert:</div><div>             payload-printable: yes # enable dumping payload in printable (lossy) format</div></div><div><br></div><div><br></div><div><br></div><div>Thanks!</div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Brandon Lattin<div>Security Analyst<br><div>University of Minnesota - University Information Security<br>Office: 612-626-6672</div></div></div></div>
</div></div></div>