Шаблоны по умолчанию
| Apache | Стандартный лог веб-сервера Apache |
| Fortinet | Стандартный лог Fortinet Fortigate, в формате CEF |
| Fortinet Lite | Стандартный лог Fortinet Fortigate, в формате CEF, с уменьшенными диапазонами IP адресов и портов |
| Infotecs-ids | Стандартный лог Infotecs IDS в формате CEF |
| Kaspersky Anti Targeted Attack Platform | Стандартный лог одного из модулей Kaspersky Anti Targeted Attack Platform в формате CEF |
| Nginx | Стандартный лог веб-сервера Nginx |
| Nginx (proxy) | Стандартный лог веб-сервера Nginx в режиме реверс прокси |
| Nginx (OpenVas) | Стандартный лог веб-сервера Nginx, в качестве User-Agent всегда используется OpenVAS |
| Squid | Стандартный лог прокси сервера Squid |
| Squid (IP List) | Стандартный лог прокси сервера Squid, с использованием списка IP адресов из файла |
| Synology | Стандартный лог файлового хранилища Synology, со случайным набором чтения файлов и пользователей |
| Suricata | Стандартный лог Suricata IDS в формате eve.json syslog |
| ElasticSearch | Пример шаблона событий в ElasticSearch |
| Kafka | Пример шаблона событий в Kafka |
| Redis | Пример шаблона событий в Redis |
| Suricata | Шаблон Suritata IDS Eve формат пересылки через Syslog |
| Suricata (json) | Шаблон Suritata IDS Eve |
| HTTP DEMO | Пример шаблона отправки HTTP данных |
| Solar Web Proxy | Лог прокси сервера-сервера Solar Web Proxy (Требуется Kraken не ниже 2.15.12) |
| Linux SSHD | Лог авторизации SSHD (Требуется Kraken не ниже 2.15.13) |
| CentOS | RSyslog логи системы на базе CentOS с включенным аудитом. (Требуется Kraken не ниже 2.15.14) |
Создание шаблона
Параметры:
Секция MAIN
template - шаблон нового события события.
index - Имя для отправки событий, в качестве значения можно указывать переменную:
- Имя индекса ElasticSearch
- Имя топика Kafka
- Имя списка Redis
- URL для HTTP
name - имя шаблона для отображения в интерфейсе (должен быть уникальным).
UserAgent - не обязательное поле, указывает User-Agent для HTTP запросов, в качестве значения можно использовать пермен
Шаблон может быть получен из двух параметров в файлах конфигурации
Для одной строки в шаблоне, пример:
[MAIN]
name=HAProxy
template=<134>%date5% haproxy[5403]: ubuntu %Ip1%:%port1% 192.168.204.146:3128 %HOME_NET_192_168_0%:%HTTP_PORTS% [%date14%.%utc_zzz%] frontend backend/apache0%R254% 0/0/0/1/1 ST=%http_code% %id% - - ---- 1/1/0/0/0 0/0 URI="%http_method% %web_proto%://%domain%%url% HTTP/1.1"Секция template
Для нескольких шаблонов в рамках одного файла конфигурации секция. В случае наличия секции [template], параметр template- игнорируется.
Пример:
[template]
1=<133>%date10% host : %ASA-5-111010: User '%user_name%', running 'CLI' from IP %HOME_NET_172%, executed '%cisco_cmd%'
2=<166>%date10% host : %ASA-6-605004: Login denied from %HOME_NET_172%/%port1% to interface10:%HOME_NET_172%/https for user "%user_name%"
3=<166>%date10% host : %ASA-6-605004: Login denied from %HOME_NET_172%/%port1% to interface10:%HOME_NET_172%/https for user "%user_name%"Секция POST
Содержит набор данных для отправки в POST запросе, в формате ключ=значение.
Секция отправляется целиком.
Поддерживаются переменные
Пример
[POST]
filename=%file_name%
md5=%md5%
sha1=%sha1%
email=%emailAddress%