<div dir="ltr">I am using Security Onion, but wanted to switch the output to JSON (eve.json) which is being created, but the alerts are not being populated.  <div>I believe that they are still being populated for the Barnyard files (per SO).   I know I had them both working for a few minutes but currently not getting any thing.   here is the part from my suricata.yaml</div><div><br></div><div><div># Extensible Event Format (nicknamed EVE) event log in JSON format</div><div>  - eve-log:</div><div>      enabled: yes</div><div>      filetype: regular #regular|syslog|unix_dgram|unix_stream|redis</div><div>      filename: suricata.json</div><div>      #prefix: "@cee: " # prefix to prepend to each log entry</div><div>      # the following are valid when type: syslog above</div><div>      #identity: "suricata"</div><div>      #facility: local5</div><div>      #level: Info ## possible levels: Emergency, Alert, Critical,</div><div>                   ## Error, Warning, Notice, Info, Debug</div><div>      #redis:</div><div>      #  server: 127.0.0.1</div><div>      #  port: 6379</div><div>      #  async: true ## if redis replies are read asynchronously</div><div>      #  mode: list ## possible values: list|lpush (default), rpush, channel|publish</div><div>      #             ## lpush and rpush are using a Redis list. "list" is an alias for lpush</div><div>      #             ## publish is using a Redis channel. "channel" is an alias for publish</div><div>      #  key: suricata ## key or channel to use (default to suricata)</div><div>      # Redis pipelining set up. This will enable to only do a query every</div><div>      # 'batch-size' events. This should lower the latency induced by network</div><div>      # connection at the cost of some memory. There is no flushing implemented</div><div>      # so this setting as to be reserved to high traffic suricata.</div><div>      #  pipelining:</div><div>      #    enabled: yes ## set enable to yes to enable query pipelining</div><div>      #    batch-size: 10 ## number of entry to keep in buffer</div><div><br></div><div>      # Include top level metadata. Default yes.</div><div>      metadata: yes</div><div><br></div><div>      # include the name of the input pcap file in pcap file processing mode</div><div>      pcap-file: false</div></div></div>