<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Hello Ramona, </div><div><br data-mce-bogus="1"></div><div>It's interesting you posted this.   I am looking at enriching Suricata EVE data with Meer.  We current add DNS information to alerts/EVE if the Meer "DNS" option is enabled.    I don't think DNS lookups are something that should happen in Suricata,  hence using Meer for those types of JSON enrichments.  For more information see <a href="https://github.com/beave/meer">https://github.com/beave/meer</a></div><div> </div><div><br data-mce-bogus="1"></div><div><br></div><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>From: </b>"Ramona Tăme" <ramona.tame@gmail.com><br><b>To: </b>"oisf-users" <oisf-users@lists.openinfosecfoundation.org><br><b>Sent: </b>Tuesday, May 26, 2020 9:06:36 AM<br><b>Subject: </b>Re: [Oisf-users] Additional data in eve.json<br></div><div><br></div><div data-marker="__QUOTED_TEXT__"><div><div dir="auto">It seems I made lots of mistakes.</div></div><div dir="auto">I am trying to add more details for triggered alerts listed within eve.json. I am interested for each alert to get the DNS resolved, to get the URL, the certificate and potentially other data. I have enabled extended data within the surricata.yaml config but I still don't get these details I was hoping to get. Does anybody have any suggestions how to do this? If I need to use Lua and generate another output file, does anyone have an example on how to get these details by using Lua?</div><div dir="auto"><br></div><div dir="auto">Thank you </div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 26 May 2020 at 10:44, Ramona Tăme <<a href="mailto:ramona.tame@gmail.com" target="_blank" rel="nofollow noopener noreferrer">ramona.tame@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Hi,</div><div dir="auto"><br></div><div dir="auto">I am trying to add more that for triggered alerts within eve.json such as DNS lookups, URL, certificates and so on. Would you please let me know how to do it and if need to use a Lua script send it to me if you have any? I enabled extended data within the config and I get more data but not these ones that I need.</div><div dir="auto"><br></div><div dir="auto">Thank you </div>
</blockquote></div></div>
<br>_______________________________________________<br>Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>Site: http://suricata-ids.org | Support: https://suricata-ids.org/support/<br>List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users<br><br>Forum: https://forum.suricata.io<br>Trainings: https://suricata-ids.org/training/<br></div></div></body></html>