Versión de la integración2.0.0
Suricata: información general
Suricata: protocolos de red
Suricata: SMB (DCERPC, NTLMSSP, Kerberos)
Suricata es un software de análisis de red y detección de amenazas de código abierto y alto rendimiento utilizado por la mayoría de las organizaciones públicas y privadas, e integrado por los principales proveedores para proteger sus activos.
Este integración proporciona enriquecimiento y visualización para tipos de logs Alert, Anomaly, HTTP, DNS, FTP, FTP_DATA, TLS, TFTP, SMB, SSH, Flow, RDP, DHCP y ARP. Ayuda a visualizar información detallada sobre alertas, anomalías, conexiones fr red, DNS y actividad DHCP, así como análisis detallados de protocolos de red en los dashboards predefinidos de la integración.
Configuración
Instalación
Para instalar la integración de Suricata, ejecuta el siguiente comando de instalación del Agent y sigue los pasos que se indican a continuación. Para obtener más información, consulta la documentación de Gestión de integraciones.
Nota: Este paso no es necesario para las versiones del Agent >= 7.57.0.
Para Linux, ejecuta:
sudo -u dd-agent -- datadog-agent integration install datadog-suricata==1.0.0
Configuración
Recopilación de logs
La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en el archivo datadog.yaml
:
Añade este bloque de configuración a tu archivo suricata.d/conf.yaml
para empezar a recopilar tus logs de Suricata.
Consulta el suricata.d/conf.yaml de ejemplo para conocer las opciones disponibles de configuración.
logs:
- type: file
path: /var/log/suricata/eve.json
service: suricata
source: suricata
Nota: Asegúrate de tener habilitado el registro de salida eve-log
en el archivo suricata.yaml
de la aplicación de Suricata, y de haber abordado los siguientes puntos:
- En el archivo
suricata.yaml
, mantén el parámetro filetype
como regular
en las configuraciones eve-log
. - La ruta predeterminada de los archivos de salida de Suricata es
/var/log/suricata
y el nombre de archivo predeterminado es eve.json
. Si has cambiado la ruta y el nombre de archivo predeterminados, actualiza el parámetro path
en tu archivo conf.yaml
en consecuencia.
Reinicia el Agent.
Validación
Ejecuta el subcomando de estado del Agent y busca suricata
en la sección Checks.
Datos recopilados
Logs
La integración de Suricata recopila los siguientes tipos de log.
Formato | Tipos de evento |
---|
JSON | alert, anomaly, http, dns, ftp, ftp_data, tls. tftp, smb, ssh, flow, rdp, dhcp, arp |
Métricas
La integración de Suricata no incluye ninguna métrica.
Eventos
La integración de Suricata no incluye ningún evento.
Checks de servicio
La integración de Suricata no incluye ningún check de servicio.
Solucionar problemas
Si ves un error de Permission denied (Permiso denegado) durante la monitorización de los archivos de log, debes dar al usuario el permiso de lectura dd-agent
sobre ellos.
sudo chown -R dd-agent:dd-agent /var/log/suricata/eve.json
Si necesitas más ayuda, ponte en contacto con el soporte de Datadog.