<div dir="ltr"><div dir="ltr"><div>Make sure that you have libjannson installed and that you have alerts enabled under the eve-log output section.<br><br><a href="https://suricata.readthedocs.io/en/suricata-4.1.3/output/eve/eve-json-output.html">https://suricata.readthedocs.io/en/suricata-4.1.3/output/eve/eve-json-output.html</a><br clear="all"></div><div dir="ltr"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>--<br>
Chris Ford - <a href="mailto:crford@gmail.com" target="_blank">crford@gmail.com</a><br>
GPG Key - <a href="https://keybase.io/crford" target="_blank">https://keybase.io/crford</a></div></div></div></div></div></div></div></div></div></div><br></div><span style="font-size:10pt;font-family:"Arial","sans-serif";color:black"></span><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(31,73,125)"> <br></span><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_8695289884447464287WordSection1"><p class="MsoNormal"><b><span style="font-size:10pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10pt;font-family:"Tahoma","sans-serif""> Oisf-users [mailto:<a href="mailto:oisf-users-bounces@lists.openinfosecfoundation.org" target="_blank">oisf-users-bounces@lists.openinfosecfoundation.org</a>] <b>On Behalf Of </b>Nafisa Mandliwala<br><b>Sent:</b> Tuesday, May 7, 2019 5:10 PM<br><b>To:</b> <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br><b>Subject:</b> [Oisf-users] Suricata EVE logging</span></p><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Hi all,<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I have a question about suricata eve log. I tried enabling eve logging (eve.json) by editing the suricata.yaml file-<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><p class="MsoNormal"> <span style="color:rgb(102,102,102)"> # Extensible Event Format (nicknamed EVE) event log in JSON format</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="color:rgb(102,102,102)">  - eve-log:</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="color:rgb(102,102,102)">      enabled: yes</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="color:rgb(102,102,102)">      filetype: regular #regular|syslog|unix_dgram|unix_stream|redis</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="color:rgb(102,102,102)">      filename: eve.json</span><u></u><u></u></p></div></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I'm not sure if I'm missing any steps but this does not generate the eve log file under /var/log/suricata/. I tried playing around with syslog/fast/http log and they all seem to work but not eve.<u></u><u></u></p></div><div><p class="MsoNormal">Is enabling the setting in suricata.yaml the only change that needs to be made?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Thanks,<u></u><u></u></p></div><div><p class="MsoNormal">Nafisa<u></u><u></u></p></div></div></div></div></div></blockquote></div></div></div>