
<html><body><div style="font-family: Andale Mono; font-size: 12pt; color: #000000"><div>Hi mr. Moe,</div><div><br data-mce-bogus="1"></div><div>Really, there are more things about. I forgot to say that works for our envorinment (not necessarily by being a CSIRT), because we have a system to parsers these emails and generated a lot of useful information (graphs, statitics and reports).</div><div><br data-mce-bogus="1"></div><div><span style="color: rgb(0, 0, 0);" data-mce-style="color: #000000;"><span style="font-family: monospace; font-size: 14.1599998474121px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" data-mce-style="font-family: monospace; font-size: 14.1599998474121px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">Samishka and all</span>,</span></div><div><br data-mce-bogus="1"></div><div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;">Well, as i said, in my environment , all incidentes are reported by email. These emails are sented to system that process and notify our clients automatically. The system adds all incidents colleted by us, or reported to us.</span></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;"><br></span></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;">But, this system is for all incidents, not just from suricata. So, i'm thinking in other way to collect data from the suricata instances. Maybe some stats from each suricata instance (each instance process your own data). For example: top events, how many matchs by rules, how many data processed (and more that i do not think yet). </span>These information are sufficient for a general view.</div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;"><br data-mce-bogus="1"></span></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;">For http_log, we are working in other solution. To avoid the traffic of a lot of LOGs to a master server, we sent just a blacklist with the bad URLs (collected by us, or reported by APWG and others) to each suricata instance. So, there are a script that search for a match between our blacklist and de http_log. If matches, generates a alert. I'm not improve this feature, but, a think that is a solution for us. We don't worry about all http access from our clients, just the access to bad Urls (like phishing, malware and etc).</span></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;"><br data-mce-bogus="1"></span></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;">Probably, for DNS log is possible do something like that.</span></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><span style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;"><br data-mce-bogus="1"></span></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;">I hope these ideas are useful.</div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;"><br data-mce-bogus="1"></div><div style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;" data-mce-style="color: #000000; font-family: 'andale mono'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;">Best Regards,</div></div><div><br></div><div data-marker="__SIG_PRE__">-----------------------------------------------<br>Alan Santos<br>Analista de Seguran�a<br>Centro de Atendimento a Incidentes de Seguran�a (CAIS)<br>Rede Nacional de Ensino e Pesquisa (RNP)<br>(19) 3787-3314 | alan.santos@rnp.br</div><br><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>De: </b>"Andreas Moe" <moe.andreas@gmail.com><br><b>Para: </b>"oisf-users" <oisf-users@lists.openinfosecfoundation.org><br><b>Enviadas: </b>Segunda-feira, 27 de julho de 2015 17:54:13<br><b>Assunto: </b>Re: [Oisf-users] Suricata Logs<br></div><br><div data-marker="__QUOTED_TEXT__"><div dir="ltr">With regards to <span class="im">Alan Santos reply. With 20 suricata instances, and the posibility of massive amounts of events (everything that suricata can produce) email is in now way, form or fashion a good choice. Saying that this works for you since you are CSIRT is not a valid argument. This since CSIRTs can be anything from a 5 man company having one guy who thinks he knows how security / suricata / siem / irt works, to a coorparation with 500+ thousand employees.<br></span></div><div class="gmail_extra"><br><div class="gmail_quote">2015-07-27 22:49 GMT+02:00 Andreas Moe <span dir="ltr"><<a href="mailto:moe.andreas@gmail.com" target="_blank">moe.andreas@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;" data-mce-style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;"><div dir="ltr"><div>Well. 20 suricata engines (at different locations), will generate alot of logs. Sure, ELK (Elasticsearch, Logstash, Kibana) is free, and Splunk can index alot of stuff (as long as you pay). But i think that the problem here (seeing that you are talking about so many log locations) is now what technical solution to gather the logs. But think of all the coorelation, aggregation and data-enrichment that these solutions are providing... None? To futher demonstrate my point; How are you going to hande thousands and tens of thousands of events (http, dns, smtp, alerts) per second? What is relevant, what is not?<br></div><br>TL;DR version: From one to a handfull of suricata instances with low bandwith you can manage this through a simple ELK/Splunk setup. After that, in my profesional oppinion something more has to be done. Ex: an MSSP or a SSP (kinda new, but Siem Solutions Provider).<br></div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">2015-07-27 22:39 GMT+02:00 Leonard Jacobs <span dir="ltr"><<a href="mailto:ljacobs@netsecuris.com" target="_blank">ljacobs@netsecuris.com</a>></span>:<br></span><blockquote class="gmail_quote" style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;" data-mce-style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;"><div lang="EN-US"><div><p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;" data-mce-style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;"><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/_Logstash_Kibana_and_Suricata_JSON_output" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/_Logstash_Kibana_and_Suricata_JSON_output</a><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p><p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;" data-mce-style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;"><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span> <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p><p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;" data-mce-style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;"><a href="https://github.com/pevma/Suricata-Logstash-Templates" target="_blank">https://github.com/pevma/Suricata-Logstash-Templates</a><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p><span class=""><p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;" data-mce-style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;"><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span> <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p><p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;" data-mce-style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;">Or if you program and you want a customized application, you can write code to enter fast.log into a database then write a front end to the database to display the data.<span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p><p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;" data-mce-style="font-size: 11.0pt; font-family: 'Calibri','sans-serif'; color: #1f497d;"><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span> <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></span><div><div style="border: none; border-top: solid #b5c4df 1.0pt; padding: 3.0pt 0in 0in 0in;" data-mce-style="border: none; border-top: solid #b5c4df 1.0pt; padding: 3.0pt 0in 0in 0in;"><p class="MsoNormal"><b><span style="font-size: 10.0pt; font-family: 'Tahoma','sans-serif';" data-mce-style="font-size: 10.0pt; font-family: 'Tahoma','sans-serif';">From:</span></b><span style="font-size: 10.0pt; font-family: 'Tahoma','sans-serif';" data-mce-style="font-size: 10.0pt; font-family: 'Tahoma','sans-serif';"> <a href="mailto:oisf-users-bounces@lists.openinfosecfoundation.org" target="_blank">oisf-users-bounces@lists.openinfosecfoundation.org</a> [mailto:<a href="mailto:oisf-users-bounces@lists.openinfosecfoundation.org" target="_blank">oisf-users-bounces@lists.openinfosecfoundation.org</a>] <b>On Behalf Of </b>Saxena, Samiksha<span class=""><br><b>Sent:</b> Monday, July 27, 2015 12:54 PM<br><b>To:</b> oisf-users<br><b>Subject:</b> [Oisf-users] Suricata Logs<span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></span></p></div></div><span class=""><span><p class="MsoNormal"><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span> <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></p><div><p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;" data-mce-style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;">Hi, <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></div><div><p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;" data-mce-style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;"><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span> <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></div><div><p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;" data-mce-style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;">I will have more than 20 Suricata engines, where each suricata engine will generate logs based on rules. I want to collect all the logs at one common place from each suricata engine. How should I achieve this?<span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></div><div><p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;" data-mce-style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;">Also, what is the value of the logs files and how often the logs are generated?<span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></div><div><p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;" data-mce-style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;"><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span> <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></div><div><p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;" data-mce-style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;"><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span> <span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></div><div><p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;" data-mce-style="font-size: 10.5pt; font-family: 'Calibri','sans-serif'; color: black;">Thanks<span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span><span data-mce-style="text-decoration: underline;" style="text-decoration: underline;"></span></span></p></div></span></span></div></div><br><span class="">_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br></span></blockquote></div><br></div>

</blockquote></div><br></div>

<br>_______________________________________________<br>Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>Site: http://suricata-ids.org | Support: http://suricata-ids.org/support/<br>List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users<br>Suricata User Conference November 4 & 5 in Barcelona: http://oisfevents.net<br></div></div></body></html>