MHN Suricata Wordpot/Cowrie ELK Стек только несколько событий в ELK

Я успешно установил MHN из github. После развертывания нескольких датчиков я заметил, что honeymap и страница атаки MHN правильно регистрируют атаки (nmap или логины в wordpot или cowrie). Тем не менее, ELK Stack собирает только события в WordPot и Cowrie.

Каналы в /opt/hpfeeds-logger/json.json включают suricata.events.

"host": "0.0.0.0",
"port": 10000,
"ident": "hpfeeds-logger-json",
"secret": "f4e860162e2644488d950023df055a66",
"channels": [
    "amun.events",
    "dionaea.connections",
    "dionaea.capture",
    "glastopf.events",
    "beeswarm.hive",
    "kippo.sessions",
    "cowrie.sessions",
    "conpot.events",
    "snort.alerts",
    "suricata.events",
    "wordpot.events",
    "shockpot.events",
    "p0f.events",
    "elastichoney.events"
],
"log_file": "/var/log/mhn/mhn-json.log",
"formatter_name": "json"

/Opt/suricata/etc/suricata/suricata.yml содержит следующие выходные данные hpfeeds:

 # hpfeeds output
- alert-hpfeeds:
  enabled: yes
  host: xxx.xxx.xxx.xxx # Server IP
  port: 10000
  ident: xxx
  secret: xxx
  channel: suricata.events
  reconnect: yes # do we reconnect if publish fails ?!

Например, /opt/wordpot/wordpot.conf содержит следующее:

HPFEEDS_ENABLED = True
HPFEEDS_HOST = 'xxx.xxx.xxx.xxx' # Server IP
HPFEEDS_PORT = 10000
HPFEEDS_IDENT = 'xxx'
HPFEEDS_SECRET = 'xxx'
HPFEEDS_TOPIC = 'wordpot.events'

Насколько я понимаю идею MHN ELK, все выходные данные должны идти в файл на сервере:

/var/log/mhn/mhn-json.log

К сожалению, только события WordPot / Cowrie делают это там. Есть ли способ проверить, где suricata.events теряются на пути к logstash?

Все это за родительским прокси, в то время как сам сервер mhn запускает экземпляр squid для предоставления прокси родительскому прокси для датчиков, которые будут установлены (избегая прямого доступа датчиков к Интернету).