15. Output

• 15.1. EVE
  • 15.1.1. Eve JSON Output
    • 15.1.1.1. Output Buffering
    • 15.1.1.2. Output types
    • 15.1.1.3. Alerts
    • 15.1.1.4. Anomaly
    • 15.1.1.5. HTTP
    • 15.1.1.6. DNS
    • 15.1.1.7. TLS
    • 15.1.1.8. ARP
    • 15.1.1.9. Netflow
    • 15.1.1.10. MQTT
    • 15.1.1.11. Drops
    • 15.1.1.12. Stats
      • 15.1.1.12.1. Zero-valued Counters
    • 15.1.1.13. Date modifiers in filename
    • 15.1.1.14. Threaded file output
    • 15.1.1.15. Rotate log file
    • 15.1.1.16. Multiple Logger Instances
    • 15.1.1.17. File permissions
    • 15.1.1.18. JSON flags
    • 15.1.1.19. Community Flow ID
      • 15.1.1.19.1. Options
        • 15.1.1.19.1.1. Multi Tenancy
  • 15.1.2. Eve JSON Format
    • 15.1.2.1. Common Section
      • 15.1.2.1.1. Field: flow_id
      • 15.1.2.1.2. Event types
      • 15.1.2.1.3. PCAP fields
    • 15.1.2.2. Event type: Alert
      • 15.1.2.2.1. Action field
      • 15.1.2.2.2. Verdict
      • 15.1.2.2.3. Pcap Field
    • 15.1.2.3. Event type: Anomaly
      • 15.1.2.3.1. Fields
      • 15.1.2.3.2. Examples
    • 15.1.2.4. Event type: fileinfo
      • 15.1.2.4.1. Fields
        • 15.1.2.4.1.1. Offset values
    • 15.1.2.5. Event type: HTTP
      • 15.1.2.5.1. Fields
      • 15.1.2.5.2. Examples
    • 15.1.2.6. Event type: DNS
      • 15.1.2.6.1. Fields
      • 15.1.2.6.2. Examples
    • 15.1.2.7. Event type: LLMNR
      • 15.1.2.7.1. Fields
      • 15.1.2.7.2. Examples
    • 15.1.2.8. Event type: FTP
      • 15.1.2.8.1. Fields
      • 15.1.2.8.2. Examples
    • 15.1.2.9. Event type: FTP_DATA
      • 15.1.2.9.1. Fields
      • 15.1.2.9.2. Examples
    • 15.1.2.10. Event type: TLS
      • 15.1.2.10.1. Fields
      • 15.1.2.10.2. Examples
    • 15.1.2.11. Event type: TFTP
      • 15.1.2.11.1. Fields
    • 15.1.2.12. Event type: KRB5
      • 15.1.2.12.1. KRB5 Fields
    • 15.1.2.13. Event type: SMB
      • 15.1.2.13.1. SMB Fields
      • 15.1.2.13.2. DCERPC fields
      • 15.1.2.13.3. NTLMSSP fields
      • 15.1.2.13.4. Kerberos fields
    • 15.1.2.14. Event type: BITTORRENT-DHT
      • 15.1.2.14.1. Common fields:
      • 15.1.2.14.2. Extra fields:
      • 15.1.2.14.3. Examples:
    • 15.1.2.15. Event type: SSH
      • 15.1.2.15.1. Fields
    • 15.1.2.16. Event type: Flow
      • 15.1.2.16.1. Fields
    • 15.1.2.17. Event type: RDP
      • 15.1.2.17.1. RDP type: Initial Request
      • 15.1.2.17.2. RDP type: Initial Response
      • 15.1.2.17.3. RDP type: Connect Request
      • 15.1.2.17.4. RDP type: Connect Response
      • 15.1.2.17.5. RDP type: TLS Handshake
      • 15.1.2.17.6. Examples
    • 15.1.2.18. Event type: RFB
      • 15.1.2.18.1. Fields
      • 15.1.2.18.2. Examples
    • 15.1.2.19. Event type: MQTT
      • 15.1.2.19.1. Transactions
      • 15.1.2.19.2. Common fields
      • 15.1.2.19.3. MQTT CONNECT fields
      • 15.1.2.19.4. MQTT CONNACK fields
      • 15.1.2.19.5. MQTT PUBLISH fields
      • 15.1.2.19.6. MQTT PUBACK/PUBREL/PUBREC/PUBCOMP fields
      • 15.1.2.19.7. MQTT SUBSCRIBE fields
      • 15.1.2.19.8. MQTT SUBACK fields
      • 15.1.2.19.9. MQTT UNSUBSCRIBE fields
      • 15.1.2.19.10. MQTT UNSUBACK fields
      • 15.1.2.19.11. MQTT AUTH fields (MQTT 5.0)
      • 15.1.2.19.12. MQTT DISCONNECT fields
      • 15.1.2.19.13. Truncated MQTT data
    • 15.1.2.20. Event type: HTTP2
      • 15.1.2.20.1. Fields
      • 15.1.2.20.2. Examples
    • 15.1.2.21. Event type: PGSQL
      • 15.1.2.21.1. Fields
      • 15.1.2.21.2. Request Messages
      • 15.1.2.21.3. Response Messages
      • 15.1.2.21.4. Examples
      • 15.1.2.21.5. Field Reference
        • 15.1.2.21.5.1. Top Level (object)
        • 15.1.2.21.5.2. response (object)
        • 15.1.2.21.5.3. response.parameter_status (array of objects)
        • 15.1.2.21.5.4. response.copy_out_response (object)
        • 15.1.2.21.5.5. response.copy_in_response (object)
        • 15.1.2.21.5.6. response.copy_data_out (object)
        • 15.1.2.21.5.7. request (object)
        • 15.1.2.21.5.8. request.startup_parameters (object)
        • 15.1.2.21.5.9. request.startup_parameters.optional_parameters (array of objects)
        • 15.1.2.21.5.10. request.copy_data_in (object)
    • 15.1.2.22. Event type: IKE
      • 15.1.2.22.1. Fields
      • 15.1.2.22.2. Examples
    • 15.1.2.23. Event type: Modbus
      • 15.1.2.23.1. Common fields
      • 15.1.2.23.2. Request/Response fields
      • 15.1.2.23.3. Exception fields
      • 15.1.2.23.4. Diagnostic fields
      • 15.1.2.23.5. MEI fields
      • 15.1.2.23.6. Read Request fields
      • 15.1.2.23.7. Read Response fields
      • 15.1.2.23.8. Multiple Write Request fields
      • 15.1.2.23.9. Mask Write fields
      • 15.1.2.23.10. Other Write fields
      • 15.1.2.23.11. Generic Data fields
      • 15.1.2.23.12. Example
    • 15.1.2.24. Event type: QUIC
      • 15.1.2.24.1. Fields
      • 15.1.2.24.2. Examples
      • 15.1.2.24.3. Output Reference
        • 15.1.2.24.3.1. Top Level (object)
        • 15.1.2.24.3.2. ja3s (object)
        • 15.1.2.24.3.3. ja3 (object)
        • 15.1.2.24.3.4. extensions (array of objects)
        • 15.1.2.24.3.5. cyu (array of objects)
    • 15.1.2.25. Event type: DHCP
      • 15.1.2.25.1. Fields
      • 15.1.2.25.2. Examples
    • 15.1.2.26. Event type: ARP
      • 15.1.2.26.1. Fields
      • 15.1.2.26.2. Examples
    • 15.1.2.27. Event type: POP3
      • 15.1.2.27.1. Fields
    • 15.1.2.28. Event type: Netflow
      • 15.1.2.28.1. Fields
  • 15.1.3. Eve JSON 'jq' Examples
    • 15.1.3.1. Colorize output
    • 15.1.3.2. DNS NXDOMAIN
    • 15.1.3.3. Unique HTTP User Agents
    • 15.1.3.4. Data use for a host
    • 15.1.3.5. Monitor part of the stats
    • 15.1.3.6. Inspect Alert Data
    • 15.1.3.7. Top 10 Destination Ports
• 15.2. Lua Output
  • 15.2.1. Script structure
  • 15.2.2. YAML
  • 15.2.3. Developing lua output script
• 15.3. Syslog Alerting Compatibility
  • 15.3.1. Popular syslog daemons
  • 15.3.2. Finding what syslog daemon you are using
  • 15.3.3. Example
• 15.4. Custom tls logging
• 15.5. Log Rotation