<p dir="ltr">You could use unified2 logging and barnyard2 to parse them. Then you could get it to syslog, and also the associated packet for that alert.</p>
<div class="gmail_quote">14. mai 2015 00:24 skrev "Duane Howard" <<a href="mailto:duane.security@gmail.com">duane.security@gmail.com</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Trying to figure out if the best way to syslog Snort/fast style alerts from Suricata is to output to a file, and configure syslog to pick that up, since suricata.yaml doesn't seem to allow 'syslog' as a target, like Eve does.</div><div><br></div><div>fast:</div><div>filetype: 'regular', 'unix_stream' or 'unix_dgram'<br></div><div><br></div><div>Eve:</div><div>type: file #file|<b>syslog</b>|unix_dgram|unix_stream<br></div><div>-- additional syslog options here.</div><div><br></div><div>Any other hacks or workarounds that I should be aware of? Why isn't syslog a supported output mechanism for fast type alerts?</div><div><br></div><div>./d</div></div>
<br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" target="_blank">http://oisfevents.net</a><br></blockquote></div>