Monitoring-Security-Project/logstash.conf at master · GiulioSavini/Monitoring-Security-Project · GitHub

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
input {
  file {
    path => "/var/log/suricata/eve.json"  # Percorso del log eve.json di Suricata
    start_position => "beginning"
    sincedb_path => "/var/lib/logstash/sincedb/suricata"  # Percorso per il file di sincedb
  }
}

filter {
  # Se eve.json è già un JSON valido, questo potrebbe non essere necessario
  json {
    source => "message"
    remove_field => ["message"]  # Rimuovi il campo message se non è necessario
  }
  if [event_type] == "alert" {
    mutate {
      add_tag => ["suricata-alert"]
    }
  }
}

output {
  elasticsearch {
    hosts => ["elasticsearch:9200"]  # Collegamento a Elasticsearch
    index => "suricata-%{+YYYY.MM.dd}"
  }
  stdout { codec => rubydebug }  # Rimuovi o commenta questa linea in produzione
}