<div dir="ltr">On Tue, Dec 27, 2016 at 7:38 AM, Vieri <<a href="mailto:rentorbuy@yahoo.com">rentorbuy@yahoo.com</a>> wrote:<br>> outputs.1 = eve-log<br>> outputs.1.eve-log = (null)<br>> outputs.1.eve-log.types = (null)<br>> outputs.1.eve-log.types.0 = alert<br>> outputs.1.eve-log.types.0.alert = (null)<br>> outputs.1.eve-log.types.0.alert.http = no<br>> outputs.1.eve-log.types.0.alert.tls = no<br>> outputs.1.eve-log.types.0.alert.ssh = no<br>> outputs.1.eve-log.types.0.alert.smtp = no<br>> outputs.1.eve-log.types.0.alert.dnp3 = no<br>> outputs.1.eve-log.types.0.alert.tagged-packets = no<br>> outputs.1.eve-log.types.0.alert.xff = (null)<br>> outputs.1.eve-log.types.0.alert.xff.enabled = no<br>> outputs.1.eve-log.types.0.alert.xff.mode = extra-data<br>> outputs.1.eve-log.types.0.alert.xff.deployment = reverse<br>> outputs.1.eve-log.types.0.alert.xff.header = X-Forwarded-For<br>> outputs.1.eve-log.types.1 = http<br>> outputs.1.eve-log.types.1.http = (null)<br>> outputs.1.eve-log.types.1.http.extended = no<br>> outputs.1.eve-log.types.2 = dns<br>> outputs.1.eve-log.types.2.dns = (null)<br>> outputs.1.eve-log.types.2.dns.query = no<br>> outputs.1.eve-log.types.2.dns.answer = no<br>> outputs.1.eve-log.types.3 = tls<br>> outputs.1.eve-log.types.3.tls = (null)<br>> outputs.1.eve-log.types.3.tls.extended = no<br>> outputs.1.eve-log.types.4 = files<br>> outputs.1.eve-log.types.4.files = (null)<br>> outputs.1.eve-log.types.4.files.force-magic = no<br>> outputs.1.eve-log.types.5 = drop<br>> outputs.1.eve-log.types.5.drop = (null)<br>> outputs.1.eve-log.types.5.drop.alerts = yes<br>> outputs.1.eve-log.types.6 = smtp<br>> outputs.1.eve-log.types.6.smtp =<br>> outputs.1.eve-log.types.7 = ssh<br>> outputs.1.eve-log.types.8 = stats<br>> outputs.1.eve-log.types.8.stats = (null)<br>> outputs.1.eve-log.types.8.stats.totals = yes<br>> outputs.1.eve-log.types.8.stats.threads = no<br>> outputs.1.eve-log.types.8.stats.deltas = no<br>> outputs.1.eve-log.types.9 = flow<br>> outputs.1.eve-log.enabled = yes<br>> outputs.1.eve-log.filetype = regular<br>> outputs.1.eve-log.filename = eve.json<br><br>You will want to comment out, or remove the types you are not interested. To just get "drop" events you'll want your eve-log section to look something like:<br><br>outputs:<br>  # Extensible Event Format (nicknamed EVE) event log in JSON format<br>  - eve-log:<br>      enabled: yes<br>      filetype: regular #regular|syslog|unix_dgram|unix_stream|redis<br>      filename: eve.json<br>      types:<br>        - drop:<br>           alerts: yes      # log alerts that caused drops<br>           flows: all        # start or all: 'start' logs only a single drop<br>                                 # per flow direction. All logs each dropped pkt.<br><div><br></div><div>Jason</div></div>