Supported OS Linux Windows Mac OS

Versión de la integración2.0.0

Información general

Suricata es un software de análisis de red y detección de amenazas de código abierto y alto rendimiento utilizado por la mayoría de las organizaciones públicas y privadas, e integrado por los principales proveedores para proteger sus activos.

Este integración proporciona enriquecimiento y visualización para tipos de logs Alert, Anomaly, HTTP, DNS, FTP, FTP_DATA, TLS, TFTP, SMB, SSH, Flow, RDP, DHCP y ARP. Ayuda a visualizar información detallada sobre alertas, anomalías, conexiones fr red, DNS y actividad DHCP, así como análisis detallados de protocolos de red en los dashboards predefinidos de la integración.

Configuración

Instalación

Para instalar la integración de Suricata, ejecuta el siguiente comando de instalación del Agent y sigue los pasos que se indican a continuación. Para obtener más información, consulta la documentación de Gestión de integraciones.

Nota: Este paso no es necesario para las versiones del Agent >= 7.57.0.

Para Linux, ejecuta:

sudo -u dd-agent -- datadog-agent integration install datadog-suricata==1.0.0

Configuración

Recopilación de logs

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en el archivo datadog.yaml:

    logs_enabled: true
    
  2. Añade este bloque de configuración a tu archivo suricata.d/conf.yaml para empezar a recopilar tus logs de Suricata.

    Consulta el suricata.d/conf.yaml de ejemplo para conocer las opciones disponibles de configuración.

    logs:
      - type: file
        path: /var/log/suricata/eve.json
        service: suricata
        source: suricata
    

    Nota: Asegúrate de tener habilitado el registro de salida eve-log en el archivo suricata.yaml de la aplicación de Suricata, y de haber abordado los siguientes puntos:

    1. En el archivo suricata.yaml, mantén el parámetro filetype como regular en las configuraciones eve-log.
    2. La ruta predeterminada de los archivos de salida de Suricata es /var/log/suricata y el nombre de archivo predeterminado es eve.json. Si has cambiado la ruta y el nombre de archivo predeterminados, actualiza el parámetro path en tu archivo conf.yaml en consecuencia.
  3. Reinicia el Agent.

Validación

Ejecuta el subcomando de estado del Agent y busca suricata en la sección Checks.

Datos recopilados

Logs

La integración de Suricata recopila los siguientes tipos de log.

FormatoTipos de evento
JSONalert, anomaly, http, dns, ftp, ftp_data, tls. tftp, smb, ssh, flow, rdp, dhcp, arp

Métricas

La integración de Suricata no incluye ninguna métrica.

Eventos

La integración de Suricata no incluye ningún evento.

Checks de servicio

La integración de Suricata no incluye ningún check de servicio.

Solucionar problemas

Si ves un error de Permission denied (Permiso denegado) durante la monitorización de los archivos de log, debes dar al usuario el permiso de lectura dd-agent sobre ellos.

sudo chown -R dd-agent:dd-agent /var/log/suricata/eve.json

Si necesitas más ayuda, ponte en contacto con el soporte de Datadog.