EVE JSON

EVE JSON은 Suricata가 탐지·분석한 네트워크 이벤트를 JSON 형식으로 기록하는 표준 로그 출력 포맷이다. 핵심은 보안 이벤트를 구조화된 데이터로 남겨서 자동 분석과 연동을 쉽게 한다는 점이다.

Suricata는 IDS/IPS로서 패킷을 분석한 뒤 다양한 결과를 만들어낸다. 예를 들어 침입 탐지 알림, HTTP 요청 정보, DNS 질의, TLS 세션 정보, 파일 다운로드 이벤트 등이 있다. EVE JSON은 이런 결과들을 사람이 읽기 위한 텍스트 로그가 아니라, 시스템이 처리하기 쉬운 JSON 구조로 기록한다. 그래서 SIEM, 로그 분석 플랫폼, 보안 관제 시스템과의 연동에 매우 적합하다.

EVE JSON의 특징은 이벤트 단위 로그라는 점이다. 한 줄이 하나의 이벤트이며, 각 이벤트에는 event_type 필드가 포함된다. 이 값에 따라 로그의 성격이 구분된다. 예를 들어 alert는 공격 탐지 알림, http는 HTTP 트래픽 정보, dns는 DNS 질의·응답 정보, tls는 TLS 세션 정보, fileinfo는 파일 전송 관련 정보다. 이 구조 덕분에 특정 유형의 이벤트만 필터링하거나 집계하기가 쉽다.

또 하나 중요한 점은 확장성과 호환성이다. JSON 형식이기 때문에 ELK(Stack), Splunk, WAF·SIEM 같은 관제 솔루션에서 바로 파싱할 수 있다. 즉, “Suricata → EVE JSON → 로그 수집기 → 보안 관제”라는 흐름이 자연스럽게 이어진다. 단순 탐지를 넘어 가시성(Visibility)과 상관 분석을 가능하게 해 준다.

EVE JSON은 Suricata의 로그 포맷이다.
JSON 기반의 구조화 로그다.
침입 탐지, HTTP, DNS, TLS 등 다양한 이벤트를 기록한다.
SIEM 연동과 자동 분석에 적합하다.

요약하면, EVE JSON은 Suricata를 단순 IDS가 아니라 보안 관제용 센서로 만들어주는 핵심 로그 형식이라고 이해하면 된다.