<p dir="ltr">I have some templates in my <a href="http://github.com/jonzeolla/configs">github.com/jonzeolla/configs</a> that do something json handling, etc. on the rsyslog side but not _exactly_ what you are looking at doing (I.e. it wouldn't be copy paste and a few substitutions).  That being said, I've used all the tools mentioned ^ and would be willing to help if you'd like to have a real time chat.  </p>
<p dir="ltr">Jon</p>
<br><div class="gmail_quote"><div dir="ltr">On Sat, Apr 30, 2016, 13:14 Eric Leblond <<a href="mailto:eric@regit.org">eric@regit.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hi,</p><p dir="ltr"><br>
Le 30 avr. 2016 6:33 PM, Chris Boley <<a href="mailto:ilgtech75@gmail.com" target="_blank">ilgtech75@gmail.com</a>> a écrit :<br>
><br>
> On my home rig I've been just using tail -f to watch the data scroll through. I'm now getting to where I would like to make my data search-able. I am seeing where on of my easiest options would possibly be to push to a syslog server on a separate computer and then monitor my logging. Does anyone use the ' LogAnalyzer ' syslog interface with rsyslog to log suricata output?</p><p dir="ltr"></p>
<p dir="ltr">Nope. I don't know that interface but I warmly recommend you to look at Elasticsearch, Splunk or dedicated tools.</p>
<p dir="ltr">> After reading: <br>
> <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Syslog_Alerting_Compatibility" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Syslog_Alerting_Compatibility</a><br>
><br>
> The template shown in there is representing sysklogd format and not rsyslog format I think. If nobody has at template, I'll have to figure out what the example shown is doing in sysklogd format and translate that over to an equivalent rsyslog format.</p>
<p dir="ltr">Suricata output is compatible with rsyslog. You can even activate the @cee prefix to get the eventsmparses at JSON.</p>
<p dir="ltr">++</p>
<p dir="ltr">><br>
> Thanks in advance.<br>
> Chris Boley<br>
><br>
><br>
><br>
><br>
</p>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></blockquote></div><div dir="ltr">-- <br></div><div dir="ltr"><p dir="ltr">Jon</p>
</div>