<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hey everyone!<div><br></div><div>We&#39;re working on analyzing semi-structured logs (such as syslog, Windows events, etc.), and I&#39;m trying to figure out if Bro/Zeek is the right tool for the job. </div><div><br></div><div>Bro/Zeek has great support for <a href="https://www.bro.org/sphinx/scripts/base/protocols/syslog/main.bro.html">parsing syslog messages into its parts</a>[1], but we wanna take it one step further, applying some NLP to the <font face="monospace, monospace">message</font> part of the syslog entry, such as named entity extraction.</div><div><br></div><div>What&#39;s the best way to integrate something like this?</div><div><ol><li>Forking the syslog script from bro/scripts/base/protocols/syslog [2], and using Zeek&#39;s FFI to integrate some C/C++ code?</li><li>Use whatever NLP tools I prefer, and integrate the <a href="https://www.bro.org/sphinx/components/broccoli/broccoli-manual.html">Brocolli Client Communications Library</a> [3] to send events to Bro/Zeek?</li></ol><div>Maybe there is other, better ways to do this.  Any advice on this matter would be appreciated!</div></div><div><br></div><div>Thank you!</div><div><br></div><div>[1]: <a href="https://www.bro.org/sphinx/scripts/base/protocols/syslog/main.bro.html">https://www.bro.org/sphinx/scripts/base/protocols/syslog/main.bro.html</a></div><div>[2]: <a href="https://github.com/bro/bro/tree/master/scripts/base/protocols/syslog">https://github.com/bro/bro/tree/master/scripts/base/protocols/syslog</a></div><div>[3]: <a href="https://www.bro.org/sphinx/components/broccoli/broccoli-manual.html">https://www.bro.org/sphinx/components/broccoli/broccoli-manual.html</a></div></div></div></div></div>