- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- Administrator's Guide
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
Supported OS
Suricata - 개요
Suricata - 알림
Suricata - 이상 항목
Suricata - 플로
Suricata - DNS
Suricata - DHCP
Suricata - 네트워크 프로토콜
Suricata - SMB (DCERPC, NTLMSSP, Kerberos)
Suricata는 민간 및 공공 기관 대부분이 사용하는 고성능 개방형 소스 네트워크 분석 및 위협 탐지 소프트웨어로, 주요 공급업체가 자산을 보호할 목적으로 제품에 내장합니다.
본 통합은 알림, 이상, HTTP, DNS, FTP, FTP_DATA, TLS, TFTP, SMB, SSH, Flow, RDP, DHCP, ARP 로그 유형에 보강 및 시각화 기능을 제공합니다. 통합 기본 제공 대시보드에서 알림, 이상, 네트워크 연결, DNS, DHCP 활동에 관한 자세한 인사이트와 상세한 네트워크 프로토콜 분석을 시각화할 수 있습니다.
Suricata 통합을 설치하려면 다음 Agent 설치 명령을 실행하고 아래 단계를 따릅니다. 자세한 내용은 통합 관리 문서를 참조하세요.
참고: Agent 버전 7.57.0 이상에서는 이 단계가 필요하지 않습니다.
Linux의 경우 다음을 실행합니다.
sudo -u dd-agent -- datadog-agent integration install datadog-suricata==1.0.0
Datadog 에이전트에서 로그 수집은 기본적으로 비활성화되어 있으므로 datadog.yaml
파일에서 활성화합니다.
logs_enabled: true
이 설정 블록을 suricata.d/conf.yaml
파일에 추가하여 Suricata 로그 수집을 시작하세요.
사용 가능한 모든 설정 옵션은 suricata.d/conf.yaml 샘플을 참조하세요.
logs:
- type: file
path: /var/log/suricata/eve.json
service: suricata
source: suricata
참고: Suricata 애플리케이션 suricata.yaml
파일에서 eve-log
출력 로깅을 활성화하고 아래 항목을 처리했는지 확인하세요.
suricata.yaml
파일에서, filetype
파라미터를 eve-log
구성에서 regular
로 유지합니다./var/log/suricata
, 기본 파일 이름은 eve.json
입니다. 기본 경로와 파일 이름을 변경한 경우 conf.yaml
파일의 path
파라미터를 알맞게 업데이트하세요.Agent의 상태 하위 명령을 실행하고 Checks 섹션에서 suricata
를 찾습니다.
Suricata 통합은 다음 로그 유형을 수집합니다.
형식 | 이벤트 유형 |
---|---|
JSON | alert, anomaly, http, dns, ftp, ftp_data, tls. tftp, smb, ssh, flow, rdp, dhcp, arp |
Suricata 통합은 메트릭을 포함하지 않습니다.
Suricata 통합은 이벤트를 포함하지 않습니다.
Suricata 통합은 서비스 점검을 포함하지 않습니다.
로그 파일을 모니터링하는 동안 권한 거부 오류가 표시되면 dd-agent
사용자에게 해당 파일 읽기 권한을 부여합니다.
sudo chown -R dd-agent:dd-agent /var/log/suricata/eve.json
추가로 도움이 필요하면 Datadog 지원 팀에 문의하세요.