15.3. 系统日志警报兼容性

Suricata可以通过Sylog发出警报，这对于集中日志收集、合规性和向SIEM报告非常方便。有关设置此设置的说明，可以在.yaml文件的节中找到，在该节中，您可以配置您想要的警报（和其他）日志记录类型。

但是，有不同的系统日志守护进程，并且可能存在SIEM期望的系统日志格式以及系统日志格式SURICA发送的内容的解析问题。来自Suricata的Syslog格式依赖于运行在Suricata传感器上的Syslog守护进程，但它发送的格式通常不是SIEM期望的格式，并且无法正确解析它。

15.3.1. 流行的系统日志守护程序

• 守护进程 -记录系统消息

• syslog-ng -记录系统消息，但也支持TCP、TLS和其他增强的企业功能

• RSY日志 -记录系统消息，但也支持TCP、TLS、多线程和其他增强功能

• 克洛格 -记录内核消息

• 系统日志 -基本上是一组系统日志和klogd

如果Suricata传感器发送的Syslog格式与您的SIEM或Syslog收集器期望的格式不兼容，则需要修复此问题。如果可以将SIEM配置为解释消息，或者通过配置Suricata传感器上的Syslog守护进程本身以SIEM可以解析的格式发送，则可以在SIEM上执行此操作。后者可以通过向系统日志配置文件应用模板来完成。

15.3.2. 正在查找正在使用的syslog守护程序

有很多方法可以找出您使用的syslog守护进程，但有一种方法：

cd /etc/init.d
ls | grep syslog

您应该看到一个文件，其中包含单词syslog，例如“syslog”、“rsyslogd”等。显然，如果名称为“rsyslogd”，您可以相当自信地运行rsyslogd。如果不确定或文件名只是“syslog”，请查看该文件。例如，如果它是“rsyslogd”，运行：

less rsyslogd

在顶部，您应该看到一个类似这样的注释行：

# rsyslog        Starts rsyslogd/rklogd.

找到这些文件并查看它们，以提供有关正在运行的系统日志守护进程的线索。也可以查看 开始（） 运行“更少”的文件的部分，并查看启动了哪些二进制文件，因为这也可以为您提供线索。

15.3.3. 例子

下面是一个示例，其中Suricata传感器正在以rsyslogd格式发送syslog消息，但siem希望以sysklogd格式对其进行分析。在syslog配置文件中（通常在/etc中，文件名为rsyslog.conf或syslog.conf），首先添加模板：

$template sysklogd, "<%PRI%>%syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%"

然后将其发送到应用模板的系统日志服务器：

user.alert @10.8.75.24:514;sysklogd

当然，这只是一个例子，根据您使用的系统日志守护进程和siem的不同，在您的环境中可能会有所不同，但希望这将为您指明正确的方向。