Suricata日志清理创建定时任务-记录

最新推荐文章于 2024-05-21 12:39:45 发布
最新推荐文章于 2024-05-21 12:39:45 发布
阅读量515 收藏 1
点赞数
分类专栏: 安全linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isxiaole/article/details/127655331
版权

1、背景

公司使用的IDS(suricata)入侵检测设备,因开启服务检测日志打印,suricata.log每天产生大量日志,隔三差五触发服务器内存不足告警。

2、处理方案

由于该日志用来分析suricata服务及规则是否生效,不建议关闭该日志打印。通过创建日志清空脚本,crond做定时任务可以解决该问题。

3、流程记录

  • 创建clearIDSlog.sh脚本,并添加权限(chmod)

在这里插入图片描述

  • 脚本内容如下
#!/bin/sh
#suricata.log大于10G的文件
for i in $(find /var/log/suricata -name ""suriacata.log" -size +1024M)
do
#将查找到的所有文件循环置空并且不删除文件
echo '' > "$i"
done
  • 创建定时任务
crontab -e  #创建定时任务
0 */24 * * * /var/log/suricata/clearIDSlog.sh   #每24h执行一次clearIDSlog.sh
systemctl restart crond.service  #重启定时服务

在这里插入图片描述

4、技能补充

命令

# df -lh
Filesystem      Size  Used Avail Use% Mounted on
/dev/sda2       8.6G  6.7G  1.5G  82% /
tmpfs           250M   76K  250M   1% /dev/shm
/dev/sda1       291M   33M  244M  12% /boot
/dev/sr0        1.5G  1.5G     0 100% /media/Ubuntu 16.04 LTS i386

解释:
Used:已经使用的空间
Avail:可以使用的空间
Mounted on:挂载的目录
关于挂载,就是Linux“一切皆文件”!

查看是否有定时任务:crontab -l
新增定时任务:cronteb -e

5、结论

完成以上操作,再也不会受到服务器硬盘空间不足的报警信息了。
本文仅作为个人日常记录,crond详细使用自行百度…

. after
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suri-stats:用于suricata stats.log文件的工具
05-02
苏里状态 介绍 suri-stats是一个基于ipython和matplotlib的小脚本。 它使您能够加载suricata stats.log文件和/或JSON EVE文件。 一旦完成,就可以绘制性能指标图。 安装 您可以简单地运行 ./setup.py install 用法 有关完整的用法消息,请运行 suri-stats -h 互动用法 假设我们在/ tmp /中有一个stats.log。 在suri-stats目录中,可以运行 suri-stats 您将获得一个外壳。 首先要做的是在Stats对象上创建 In [1]: ST=Stats("long run") In [2]: ST.load_file("/tmp/stats.log") 加载JSON文件 In [1]: ST=Stats("modern run") In [2]: ST.load_json_file("/tmp/
suricata + ELK保姆级搭建入侵检测/入侵防御01 --- suricata环境搭建
m0_49979570的博客
01-24 6558
前言 最近在整理网络安全方面的问题,服务器由于是部署在微软云的原因,所以在微软云中了解到了网络监察程序相关的内容,它使用的是suricata + ELK来进行网络流量的监察,在查找suricata的过程,我发现国内suricata方面的资源太少,以至于花了一些时间才明白是如何进行搭建的。(其实就是菜 = =|||) 本文章搭建的环境为Ubuntu OS,使用的suricata是直接使用apt install方式安装。 由于在微软云上直接看网络监察程序那页实在是没说明白,直接跟着操作会有一些问题存在,所以E
suricata对HTTP/S实时日志跟踪】
最新发布
2301_76261573的博客
05-21 369
反制规则CS-Suricata规则编写和检测
如何做到两行代码清理NTA(IDS-suricata日志
Casual的博客
11-12 378
1.任务描述: 监控运维那边在机器挂载的磁盘磁盘剩余量小于百分之十时就会通知到运营小组统一接口人(在下)这里,为了防止半夜打给我电话扰我美梦,就需要整一个小shell代替监控磁盘容量,在到达电话告警之前自动做一次针对suricata日志的磁盘清理 2.原理阐述: 1.df -h查看磁盘空间,添加管道符|和grep找到我们需要关注的挂载盘,我这里需要关注的是/data,然后把选择将第五栏Use%(已用百分比)的值取出来赋值给变量Use Use=`df -h | grep /data |awk '{print
suricata 3.0,日志模块初始化流程
ljq32的专栏
01-06 1621
typedef struct RunModeOutput_ { const char *name; TmModule *tm_module; OutputCtx *output_ctx; TAILQ_ENTRY(RunModeOutput_) entries; } RunModeOutput; TAILQ_HEAD(, RunModeOutput_) RunModeOutputs = TAILQ_HEAD_INITIALIZER(RunModeOutputs); ...
go log包日志管理详解
爱死亡机器人
04-01 1550
1. Log三类方法 Print() 用于输出日志 Fatal() 输出日志的同时,调用os.Exit(1)方法退出,小提示:如果函数下存在defer不会执行 Panic() 输出日志的同时,调用panic方法,但defer会执行 三类区别: Fatal会保存日志并终止程序,Panic会保存日志并丢出异常终止程序,Print会保存日志但是程序继续 三类源代码 func Printl...
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6387
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME添加新测试创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
suricata-readthedocs-io-en-latest.pdf
07-06
suricata 原文手册
docker-suricata:Suricata Docker映像
05-07
-i <interface>但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ -v $(pwd)/logs:/var/log/suricata \...
wazuh 收集 suricata eve.json日志
guoguangwu的专栏
11-19 4054
安装suricata和规则 (源码或者安装包),本博客提供安装包操作方式: 切换成超级用户进行操作 yum -y install epel-release wget jq curl -O https://copr.fedorainfracloud.org/coprs/jasonish/suricata-stable/repo/epel-7/jasonish-suricata-stable-e...
suricata日志输出量统计-30G现网流量
m0_50638175的博客
08-12 891
30G现网流量 suricata stats.log ------------------------------------------------------------------------------------ Date: 8/12/2021 -- 11:44:16 (uptime: 0d, 00h 04m 53s) ------------------------------------------------------------------------------------ Count
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4796
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
Suricata日志输出
m0_55593211的博客
06-01 1545
安装filebeat 配置filebeat.yml输出 # ============================== Filebeat inputs =============================== filebeat.inputs: - type: log enabled: true paths: - /var/log/suricata/fast-*.log # suricata告警日志 fields: filename: fast - type: log
suricata配置文件内容架构详解
IAMZTDSF的博客
06-10 2317
1.vars(变量表)越具体,警报准确性和性能越好1.default-log-dir(默认日志的目录)2.Global stats configuration(全球数据的配置)stats(统计数据)interval(日志打印间隔时间)decoder-events(添加事件流作为统计)decoder-events-prefix(在统计中解码器事件前缀)stream-events(添加事件流作为统计)plugins(为每个插件共i相对想指定文件名)outputs (配置警报和其他日志记录类型)-fast(基于
使用logrotate对Suricata日志进行管理
u011311291的博客
02-23 1734
1.在/etc/logrotate.d中创建空白文件,比如suri_logrotate 2.在suri_logrotate中添加以下内容 /var/log/suricata/eve.json { daily rotate 3 missingok nocompress create dateformat .%Y-%m-%d sharedscri...
(gdb) run -c /usr/local/etc/suricata/suricata.yaml --dpdkintel Starting program: -c /usr/local/etc/suricata/suricata.yaml --dpdkintel No executable file specified. Use the "file" or "exec-file" command.
05-30
这是一个 GDB 的调试信息,看起来你正在尝试调试一个程序,但是你没有指定可执行文件。你需要使用 "file" 或 "exec-file" 命令来指定一个可执行...(gdb) run -c /usr/local/etc/suricata/suricata.yaml --dpdkintel ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值