14.1. EVE

• 14.1.1. Eve JSON Output
  • 14.1.1.1. Output types
  • 14.1.1.2. Alerts
  • 14.1.1.3. Anomaly
  • 14.1.1.4. HTTP
  • 14.1.1.5. DNS
  • 14.1.1.6. DNS v1 Format
  • 14.1.1.7. TLS
  • 14.1.1.8. Date modifiers in filename
  • 14.1.1.9. Rotate log file
  • 14.1.1.10. Multiple Logger Instances
  • 14.1.1.11. File permissions
  • 14.1.1.12. JSON flags
  • 14.1.1.13. Community Flow ID
    • 14.1.1.13.1. Options
• 14.1.2. Eve JSON Format
  • 14.1.2.1. Common Section
    • 14.1.2.1.1. Event types
    • 14.1.2.1.2. PCAP fields
  • 14.1.2.2. Event type: Alert
    • 14.1.2.2.1. Field action
  • 14.1.2.3. Event type: Anomaly
  • 14.1.2.4. Fields
  • 14.1.2.5. Examples
  • 14.1.2.6. Event type: HTTP
    • 14.1.2.6.1. Fields
    • 14.1.2.6.2. Examples
  • 14.1.2.7. Event type: DNS
    • 14.1.2.7.1. Fields
    • 14.1.2.7.2. Examples
  • 14.1.2.8. Event type: FTP
    • 14.1.2.8.1. Fields
    • 14.1.2.8.2. Examples
  • 14.1.2.9. Event type: FTP_DATA
    • 14.1.2.9.1. Fields
    • 14.1.2.9.2. Examples
  • 14.1.2.10. Event type: TLS
    • 14.1.2.10.1. Fields
    • 14.1.2.10.2. Examples
  • 14.1.2.11. Event type: TFTP
    • 14.1.2.11.1. Fields
  • 14.1.2.12. Event type: SMB
    • 14.1.2.12.1. SMB Fields
    • 14.1.2.12.2. DCERPC fields
    • 14.1.2.12.3. NTLMSSP fields
    • 14.1.2.12.4. Kerberos fields
  • 14.1.2.13. Event type: SSH
    • 14.1.2.13.1. Fields
  • 14.1.2.14. Event type: Flow
    • 14.1.2.14.1. Fields
  • 14.1.2.15. Event type: RDP
    • 14.1.2.15.1. RDP type: Initial Request
    • 14.1.2.15.2. RDP type: Initial Response
    • 14.1.2.15.3. RDP type: Connect Request
    • 14.1.2.15.4. RDP type: Connect Response
    • 14.1.2.15.5. RDP type: TLS Handshake
    • 14.1.2.15.6. Examples
• 14.1.3. Eve JSON ‘jq’ Examples
  • 14.1.3.1. Colorize output
  • 14.1.3.2. DNS NXDOMAIN
  • 14.1.3.3. Unique HTTP User Agents
  • 14.1.3.4. Data use for a host
  • 14.1.3.5. Monitor part of the stats
  • 14.1.3.6. Inspect Alert Data
  • 14.1.3.7. Top 10 Destination Ports