已删除Unified2输出

从Suricata 6.0开始，统一的2输出已经被删除。遗留的Unified2格式缺乏Eve格式中的灵活性，并且很难与其他工具集成。当前建议的输出为 EVE .

包（有效负载）日志记录

默认情况下，Eve不像Unified2那样记录数据包或有效负载。这可以通过在Eve警报日志中启用有效负载来实现。这将以base64格式记录有效负载，以便与Eve日志的JSON格式兼容。

需要注意的是，虽然Eve确实有一个记录数据包的选项，但是有效负载选项提供了与统一输出相同的数据。

迁移工具

梅尔

Meer是一个Eve日志处理工具，可以处理Eve日志并将其插入到与Barnyard2兼容的数据库中。如果使用Unified2时，Suricata events添加了这种类型的数据库，以便与snoby和BASE等工具一起使用，那么这可以作为Barnyard2的替代。

有关Meer的更多信息，请访问其GitHub项目页面： https://github.com/beave/meer .

注解

请注意，OISF或Suricata开发团队不支持或维护Meer。