15. Output

• 15.1. EVE
  • 15.1.1. Eve JSON Output
    • 15.1.1.1. Output types
    • 15.1.1.2. Alerts
    • 15.1.1.3. Anomaly
    • 15.1.1.4. HTTP
    • 15.1.1.5. DNS
    • 15.1.1.6. DNS v1 Format
    • 15.1.1.7. TLS
    • 15.1.1.8. Date modifiers in filename
    • 15.1.1.9. Rotate log file
    • 15.1.1.10. Multiple Logger Instances
    • 15.1.1.11. File permissions
    • 15.1.1.12. JSON flags
    • 15.1.1.13. Community Flow ID
      • 15.1.1.13.1. Options
  • 15.1.2. Eve JSON Format
    • 15.1.2.1. Common Section
      • 15.1.2.1.1. Event types
      • 15.1.2.1.2. PCAP fields
    • 15.1.2.2. Event type: Alert
      • 15.1.2.2.1. Field action
    • 15.1.2.3. Event type: Anomaly
      • 15.1.2.3.1. Fields
      • 15.1.2.3.2. Examples
    • 15.1.2.4. Event type: HTTP
      • 15.1.2.4.1. Fields
      • 15.1.2.4.2. Examples
    • 15.1.2.5. Event type: DNS
      • 15.1.2.5.1. Fields
      • 15.1.2.5.2. Examples
    • 15.1.2.6. Event type: FTP
      • 15.1.2.6.1. Fields
      • 15.1.2.6.2. Examples
    • 15.1.2.7. Event type: FTP_DATA
      • 15.1.2.7.1. Fields
      • 15.1.2.7.2. Examples
    • 15.1.2.8. Event type: TLS
      • 15.1.2.8.1. Fields
      • 15.1.2.8.2. Examples
    • 15.1.2.9. Event type: TFTP
      • 15.1.2.9.1. Fields
    • 15.1.2.10. Event type: SMB
      • 15.1.2.10.1. SMB Fields
      • 15.1.2.10.2. DCERPC fields
      • 15.1.2.10.3. NTLMSSP fields
      • 15.1.2.10.4. Kerberos fields
    • 15.1.2.11. Event type: SSH
      • 15.1.2.11.1. Fields
    • 15.1.2.12. Event type: Flow
      • 15.1.2.12.1. Fields
    • 15.1.2.13. Event type: RDP
      • 15.1.2.13.1. RDP type: Initial Request
      • 15.1.2.13.2. RDP type: Initial Response
      • 15.1.2.13.3. RDP type: Connect Request
      • 15.1.2.13.4. RDP type: Connect Response
      • 15.1.2.13.5. RDP type: TLS Handshake
      • 15.1.2.13.6. Examples
  • 15.1.3. Eve JSON ‘jq’ Examples
    • 15.1.3.1. Colorize output
    • 15.1.3.2. DNS NXDOMAIN
    • 15.1.3.3. Unique HTTP User Agents
    • 15.1.3.4. Data use for a host
    • 15.1.3.5. Monitor part of the stats
    • 15.1.3.6. Inspect Alert Data
    • 15.1.3.7. Top 10 Destination Ports
• 15.2. Lua Output
  • 15.2.1. Script structure
  • 15.2.2. YAML
  • 15.2.3. Developing lua output script
• 15.3. Syslog Alerting Compatibility
  • 15.3.1. Popular syslog daemons
  • 15.3.2. Finding what syslog daemon you are using
  • 15.3.3. Example
• 15.4. Custom http logging
• 15.5. Custom tls logging
• 15.6. Log Rotation