15.1. EVE

• 15.1.1. Eve JSON Output
  • 15.1.1.1. Output Buffering
  • 15.1.1.2. Output types
  • 15.1.1.3. Alerts
  • 15.1.1.4. Anomaly
  • 15.1.1.5. HTTP
  • 15.1.1.6. DNS
  • 15.1.1.7. TLS
  • 15.1.1.8. ARP
  • 15.1.1.9. Netflow
  • 15.1.1.10. MQTT
  • 15.1.1.11. Drops
  • 15.1.1.12. Stats
    • 15.1.1.12.1. Zero-valued Counters
  • 15.1.1.13. Date modifiers in filename
  • 15.1.1.14. Threaded file output
  • 15.1.1.15. Rotate log file
  • 15.1.1.16. Multiple Logger Instances
  • 15.1.1.17. File permissions
  • 15.1.1.18. JSON flags
  • 15.1.1.19. Community Flow ID
    • 15.1.1.19.1. Options
      • 15.1.1.19.1.1. Multi Tenancy
• 15.1.2. Eve JSON Format
  • 15.1.2.1. Common Section
    • 15.1.2.1.1. Field: flow_id
    • 15.1.2.1.2. Event types
    • 15.1.2.1.3. PCAP fields
  • 15.1.2.2. Event type: Alert
    • 15.1.2.2.1. Action field
    • 15.1.2.2.2. Verdict
    • 15.1.2.2.3. Pcap Field
  • 15.1.2.3. Event type: Anomaly
    • 15.1.2.3.1. Fields
    • 15.1.2.3.2. Examples
  • 15.1.2.4. Event type: fileinfo
    • 15.1.2.4.1. Fields
      • 15.1.2.4.1.1. Offset values
  • 15.1.2.5. Event type: HTTP
    • 15.1.2.5.1. Fields
    • 15.1.2.5.2. Examples
  • 15.1.2.6. Event type: DNS
    • 15.1.2.6.1. Fields
    • 15.1.2.6.2. Examples
  • 15.1.2.7. Event type: FTP
    • 15.1.2.7.1. Fields
    • 15.1.2.7.2. Examples
  • 15.1.2.8. Event type: FTP_DATA
    • 15.1.2.8.1. Fields
    • 15.1.2.8.2. Examples
  • 15.1.2.9. Event type: TLS
    • 15.1.2.9.1. Fields
    • 15.1.2.9.2. Examples
  • 15.1.2.10. Event type: TFTP
    • 15.1.2.10.1. Fields
  • 15.1.2.11. Event type: KRB5
    • 15.1.2.11.1. KRB5 Fields
  • 15.1.2.12. Event type: SMB
    • 15.1.2.12.1. SMB Fields
    • 15.1.2.12.2. DCERPC fields
    • 15.1.2.12.3. NTLMSSP fields
    • 15.1.2.12.4. Kerberos fields
  • 15.1.2.13. Event type: BITTORRENT-DHT
    • 15.1.2.13.1. Common fields:
    • 15.1.2.13.2. Extra fields:
    • 15.1.2.13.3. Examples:
  • 15.1.2.14. Event type: SSH
    • 15.1.2.14.1. Fields
  • 15.1.2.15. Event type: Flow
    • 15.1.2.15.1. Fields
  • 15.1.2.16. Event type: RDP
    • 15.1.2.16.1. RDP type: Initial Request
    • 15.1.2.16.2. RDP type: Initial Response
    • 15.1.2.16.3. RDP type: Connect Request
    • 15.1.2.16.4. RDP type: Connect Response
    • 15.1.2.16.5. RDP type: TLS Handshake
    • 15.1.2.16.6. Examples
  • 15.1.2.17. Event type: RFB
    • 15.1.2.17.1. Fields
    • 15.1.2.17.2. Examples
  • 15.1.2.18. Event type: MQTT
    • 15.1.2.18.1. Transactions
    • 15.1.2.18.2. Common fields
    • 15.1.2.18.3. MQTT CONNECT fields
    • 15.1.2.18.4. MQTT CONNACK fields
    • 15.1.2.18.5. MQTT PUBLISH fields
    • 15.1.2.18.6. MQTT PUBACK/PUBREL/PUBREC/PUBCOMP fields
    • 15.1.2.18.7. MQTT SUBSCRIBE fields
    • 15.1.2.18.8. MQTT SUBACK fields
    • 15.1.2.18.9. MQTT UNSUBSCRIBE fields
    • 15.1.2.18.10. MQTT UNSUBACK fields
    • 15.1.2.18.11. MQTT AUTH fields (MQTT 5.0)
    • 15.1.2.18.12. MQTT DISCONNECT fields
    • 15.1.2.18.13. Truncated MQTT data
  • 15.1.2.19. Event type: HTTP2
    • 15.1.2.19.1. Fields
    • 15.1.2.19.2. Examples
  • 15.1.2.20. Event type: PGSQL
    • 15.1.2.20.1. Fields
    • 15.1.2.20.2. Request Messages
    • 15.1.2.20.3. Response Messages
    • 15.1.2.20.4. Examples
    • 15.1.2.20.5. Field Reference
      • 15.1.2.20.5.1. Top Level (object)
      • 15.1.2.20.5.2. response (object)
      • 15.1.2.20.5.3. response.parameter_status (array of objects)
      • 15.1.2.20.5.4. response.copy_out_response (object)
      • 15.1.2.20.5.5. response.copy_in_response (object)
      • 15.1.2.20.5.6. response.copy_data_out (object)
      • 15.1.2.20.5.7. request (object)
      • 15.1.2.20.5.8. request.startup_parameters (object)
      • 15.1.2.20.5.9. request.startup_parameters.optional_parameters (array of objects)
      • 15.1.2.20.5.10. request.copy_data_in (object)
  • 15.1.2.21. Event type: IKE
    • 15.1.2.21.1. Fields
    • 15.1.2.21.2. Examples
  • 15.1.2.22. Event type: Modbus
    • 15.1.2.22.1. Common fields
    • 15.1.2.22.2. Request/Response fields
    • 15.1.2.22.3. Exception fields
    • 15.1.2.22.4. Diagnostic fields
    • 15.1.2.22.5. MEI fields
    • 15.1.2.22.6. Read Request fields
    • 15.1.2.22.7. Read Response fields
    • 15.1.2.22.8. Multiple Write Request fields
    • 15.1.2.22.9. Mask Write fields
    • 15.1.2.22.10. Other Write fields
    • 15.1.2.22.11. Generic Data fields
    • 15.1.2.22.12. Example
  • 15.1.2.23. Event type: QUIC
    • 15.1.2.23.1. Fields
    • 15.1.2.23.2. Examples
    • 15.1.2.23.3. Output Reference
      • 15.1.2.23.3.1. Top Level (object)
      • 15.1.2.23.3.2. ja3s (object)
      • 15.1.2.23.3.3. ja3 (object)
      • 15.1.2.23.3.4. extensions (array of objects)
      • 15.1.2.23.3.5. cyu (array of objects)
  • 15.1.2.24. Event type: DHCP
    • 15.1.2.24.1. Fields
    • 15.1.2.24.2. Examples
  • 15.1.2.25. Event type: ARP
    • 15.1.2.25.1. Fields
    • 15.1.2.25.2. Examples
  • 15.1.2.26. Event type: POP3
    • 15.1.2.26.1. Fields
  • 15.1.2.27. Event type: Netflow
    • 15.1.2.27.1. Fields
• 15.1.3. Eve JSON 'jq' Examples
  • 15.1.3.1. Colorize output
  • 15.1.3.2. DNS NXDOMAIN
  • 15.1.3.3. Unique HTTP User Agents
  • 15.1.3.4. Data use for a host
  • 15.1.3.5. Monitor part of the stats
  • 15.1.3.6. Inspect Alert Data
  • 15.1.3.7. Top 10 Destination Ports