<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Dec 28, 2016 at 3:09 AM, Vieri <span dir="ltr"><<a href="mailto:rentorbuy@yahoo.com" target="_blank">rentorbuy@yahoo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">______________________________<wbr>__<br>
> From: Jason Ish <<a href="mailto:lists@unx.ca">lists@unx.ca</a>><br>
<span class="">>> outputs.1 = eve-log<br>
>> outputs.1.eve-log = (null)<br>
>> outputs.1.eve-log.types = (null)<br>
>> outputs.1.eve-log.types.0 = alert<br>
>> outputs.1.eve-log.types.0.<wbr>alert = (null)<br>
>> outputs.1.eve-log.types.0.<wbr>alert.http = no<br>
>> outputs.1.eve-log.types.0.<wbr>alert.tls = no<br>
><br>
<br>
</span><span class="">> You will want to comment out, or remove the types you are not interested. To just get "drop" events<br>
<br>
> you'll want your eve-log section to look something like:><br>
> outputs:<br>
</span><span class="">>  - eve-log:<br>
>      enabled: yes<br>
>      filetype: regular #regular|syslog|unix_dgram|<wbr>unix_stream|redis<br>
>      filename: eve.json<br>
>      types:<br>
>        - drop:<br>
>           alerts: yes<br>
<br>
</span>>           flows: all<br>
<br>
Right, but suppose I have the default yaml file which also enables other types. Is it possible to disable these types via the --set command line argument?<br>
That's why I tried to set outputs.1.eve-log.types.0.<wbr>alert.{http,tls,etc...} = no. I also tried<br>
<br>
outputs.1.eve-log.types.0 =<br>
<br>
but Suricata still logs alerts in EVE.<br>
<br>
Is editing the yaml file the only way to do this?<br></blockquote><div><br></div><div>Yes, you're going to have to edit the yaml. The set doesn't play nicely with lists, it might be possible if these had "enabled" flags, but they don't. Their existence in the list enables them.</div><div><br></div><div>Another option is to create a new YAML that includes the default, then re-define the outputs section.</div><div><br></div><div>%YAML 1.1</div><div>---</div><div><br></div><div>include: /etc/suricata/suricata.yaml</div><div><br></div><div># Redefine outputs.</div><div>outputs:</div><div>   - eve-log:</div><div>   ...</div><div><br></div><div># EOF</div><div><br></div><div>You'll have to completely redefine the outputs section to how you will want it, as this will replace the outputs in the included file, not merge them.</div><div><br></div><div>Jason</div><div><br></div><div> </div></div></div></div>