使用logrotate对Suricata日志进行管理

最新推荐文章于 2024-05-13 03:53:38 发布
最新推荐文章于 2024-05-13 03:53:38 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 安全 文章标签: suricata logrotate 日志 管理 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011311291/article/details/87896449
版权

1.在/etc/logrotate.d中创建空白文件,比如suri_logrotate
2.在suri_logrotate中添加以下内容

/var/log/suricata/eve.json
{
    daily
    rotate 3
    missingok
    nocompress
    create
    dateext
    dateformat .%Y-%m-%d
    sharedscripts
    postrotate
            /bin/kill -HUP `cat /var/run/suricata.pid 2>/dev/null` 2>/dev/null || true
    endscript
}

logrotate常用关键字解释:
daily|weekly|monthly 指定转储的周期
rotate 3 //可以保留几份日志文件
missingok 如果日志丢失,不报错继续滚动下一个日志
nocompress 不做gzip压缩处理
create 自动创建新的日志文件,新的日志文件具有和原来的文件相同的权限
sharedscripts 运行postrotate脚本,作用是在所有日志都轮转后统一执行一次脚本。如果没有配置这个,那么每个日志轮转后都会执行一次脚本
prerotate 在logrotate转储之前需要执行的指令
postrotate 在logrotate转储之后需要执行的指令
olddir 转储的日志存放目录
dateext 使用当期日期作为命名格式
dateformat .%Y-%m-%d 配合dateext使用,紧跟在下一行出现,支持 %Y %m %d %s 这四个参数
3.可以使用以下命令对创建好的配置文件进行测试
(1)logrotate -d /etc/logrotate.d/suri_logrotate //调试模式,输出调试结果,但并不执行。
(2)logrotate -f /etc/logrotate.d/suri_logrotate //强制模式,对suri_logrotate进行rotate。

注意,如果日志转储失败,那么尝试通过以下方法解决
1.使用命令
chcon -Rv --type=var_log_t /var/log/suricata/
2.如果运行以上命令报错误chcon: can’t apply partial context to unlabeled file xxxxx,使用ls -Z查看日志安全对象属性,如果没有system_u:object_r:var_log_t:s0
-rw-r–r--. root root system_u:object_r:var_log_t:s0 eve.json
如果没有,那么通过复制别的文件安全对象属性赋予当前文件安全对象属性即可
chcon -Rv --reference=/var/log/anaconda/anaconda.log /var/log/suricata/

姚贤贤
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
日志工具:logrotate
02-12 1185
对于linux 的系统安全来说,日志文件是极其重要的工具。系统管理员可以使用logrotate 程序用来管理系统中的最新的事件。logrotate 还可以用来备份日志文件,本篇将通过以下几部分来介绍日志文件的管理:1、logrotate 配置2、缺省配置 logrotate3、使用include 选项读取其他配置文件4、使用include 选项覆盖缺省配置5、为指定的文件配置转储参数一、logro
go log包日志管理详解
爱死亡机器人
04-01 1547
1. Log三类方法 Print() 用于输出日志 Fatal() 输出日志的同时,调用os.Exit(1)方法退出,小提示:如果函数下存在defer不会执行 Panic() 输出日志的同时,调用panic方法,但defer会执行 三类区别: Fatal会保存日志并终止程序,Panic会保存日志并丢出异常终止程序,Print会保存日志但是程序继续 三类源代码 func Printl...
suricata匹配从入门到精通(一)----suricata安装配置及使用
最新发布
2401_84971751的博客
05-13 999
本文所叙述的Suricata使用方式为在本地进行pcap包校验,如果要在网络环境中进行抓包校验,还需进行配置,可以自行学习。1)Suricata按照以上步骤安装完成后可以正常使用本地pcap包检测,其中Suricata配置文件为/etc/suricata/suricata.yaml。对自己编写的IDS规则进行验证时首先需要在配置中添加启用自己上传的IDS规则。
Suricata日志清理创建定时任务-记录
isxiaole的博客
11-02 505
linxu大日志文件创建定时清理记录。
Suricata日志输出
m0_55593211的博客
06-01 1539
安装filebeat 配置filebeat.yml输出 # ============================== Filebeat inputs =============================== filebeat.inputs: - type: log enabled: true paths: - /var/log/suricata/fast-*.log # suricata告警日志 fields: filename: fast - type: log
如何做到两行代码清理NTA(IDS-suricata日志
Casual的博客
11-12 377
1.任务描述: 监控运维那边在机器挂载的磁盘磁盘剩余量小于百分之十时就会通知到运营小组统一接口人(在下)这里,为了防止半夜打给我电话扰我美梦,就需要整一个小shell代替监控磁盘容量,在到达电话告警之前自动做一次针对suricata日志的磁盘清理 2.原理阐述: 1.df -h查看磁盘空间,添加管道符|和grep找到我们需要关注的挂载盘,我这里需要关注的是/data,然后把选择将第五栏Use%(已用百分比)的值取出来赋值给变量Use Use=`df -h | grep /data |awk '{print
logrotate实现日志割和清理(清晰易懂)
热门推荐
weixin_40547071的博客
08-08 2万+
logrotate使用,用于实现日志割、清理
Linux使用logrotate日志文件
01-11
我在golang应用里使用logrus包来打日志,配置和使用都很方便,就是没有日志分割的功能,应用在线上运行一个月后日志文件都已经达到上百兆。后来发现了logrotate,这是centos自带的日志分割工具,都不用安装额外组件...
Linux中logrotate日志轮询操作总结
09-15
在Linux操作系统中,logrotate是一个不可或缺的工具,主要用于管理和维护日志文件,避免日志文件过大导致磁盘空间耗尽。它能够定期地割、压缩、删除旧的日志文件,并创建新的日志文件,确保系统的稳定运行和日志...
日志管理工具 Logrotate
06-25
日志管理工具 Logrotate Logrotate 是一个日志管理工具,用于处理不断增长的日志文件。它可以根据用户配置的规则,检测和处理日志文件,例如备份、压缩或转储。Logrotate 的工作方式是,检测日志文件的属性,对...
logrotate 日志割 nginx
04-08
Logrotate 可以根据需求进行优化,例如,可以设置日志文件的保存周期、压缩方式等,以提高 Logrotate 的性能。 11. Logrotate 的常见问题 Logrotate 有一些常见的问题,例如,为什么生成日志的时间是凌晨四五点?...
发烧:适用于Suricata的EVE-JSON格式的快速,可扩展,多功能事件路由器
02-04
:fire: 发热 快速,可扩展,多功能事件路由器(FEVER)是一种用于快速处理Suricata的JSON EVE输出中的事件的工具。 “处理”的含义是由许多模块化组件定义的,例如,便于快速提取到数据库中。 其他处理器实现各种元数据(例如,聚合流和原始流,被动DNS数据等)以及性能指标的收集,聚合和转发。 它打算在Logstash之类的通用日志处理器之前使用(或代替它使用),以增加在看到大量流量的传感器上观察到的事件吞吐量。 建造 像其他任何好的Go程序一样: $ go get -t ./... $ go build ./... $ go install -v ./... ... $ fever
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 1289
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 2373
Suricata(Ubuntu)的安装以及使用过程
suricata之linux编译
hezhanran的博客
10-26 2764
suricata编译
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 6296
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6372
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4785
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
tomcat日志 logrotate
05-25
Tomcat是一个常用的Java Web应用程序服务器,它会记录大量的日志信息,而这些日志文件会不断增大,占用大量的磁盘空间。为了解决这个问题,通常需要进行日志割和压缩,这就需要使用logrotate工具。 logrotate是一个Linux系统下的日志文件管理工具,可以自动割、压缩和删除日志文件,同时可以保留一定数量的历史日志文件。通过使用logrotate,可以使得Tomcat的日志文件管理更加便捷和高效。 下面是一个简单的logrotate配置文件示例,用于对Tomcat的catalina.out日志文件进行管理: ``` /home/tomcat/logs/catalina.out { daily missingok rotate 7 compress delaycompress notifempty copytruncate } ``` 解释: - `/home/tomcat/logs/catalina.out`:表示要进行管理日志文件路径。 - `daily`:表示按照每天的时间间隔进行日志割。 - `missingok`:表示如果日志文件不存在则忽略该文件。 - `rotate 7`:表示保留7个历史日志文件。 - `compress`:表示对割后的日志文件进行压缩。 - `delaycompress`:表示在下一次割时再进行压缩,避免出现压缩失败的情况。 - `notifempty`:表示如果日志文件为空则不进行割。 - `copytruncate`:表示备份旧日志文件时,使用复制方式,同时截断原始日志文件,避免出现日志丢失的情况。 以上配置可以根据实际情况进行调整和修改。配置完成后,可以使用以下命令手动进行日志割: ``` logrotate -f /etc/logrotate.d/tomcat ``` 其中`-f`表示强制执行,`/etc/logrotate.d/tomcat`为配置文件路径。也可以将该命令添加到定时任务中,以定期对Tomcat日志进行割。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值