我一直在使用snort-IDS.我在/ var/log/snort有一些日志文件.这些文件的类型为snort.log.xxxx.我如何查看此文件???
我将重新讨论这个问题,尝试合并其他答案,因为我认为这些答案没有得到正确解释。
snort.log.xxx文件类型Snort可能会输出两种输出文件格式,具体取决于该文件的snort输出插件选项:tcpdump pcap和snort的Unified2。为了知道您的文件是哪种,请使用unix file命令。
它会告诉您tcpdump capture file(转到2)或data(转到3)。
你可以理解为正常拍摄文件:您可以使用wireshark,tshark -r,tcpdump -r,甚至重新注入他们用鼻息snort -r。
“本机” snort格式。您可以使用读取它u2spewfoo <file>(包含在snort中),也可以使用将其转换为pcap u2boat。
如果要将其转换为另一个警报系统(例如syslog),则可以使用barnyard2。Barnyard2是一个简单的工具,但是配置有些复杂,所以请告诉我您是否需要更多信息!
Barnyard2还能够“连续”转换它,即以前的工具很短:它们一次打印/转换一个文件,然后退出。Barnyard2能够监视snort日志目录并在由snort生成事件时对其进行处理。
之所以使用Unified2格式,是因为它会过滤旧的唯一线程设计。Snort花在等待系统日志,屏幕等到ACK警报上的时间是snort未用于分析数据包的时间。因此,方法是转储为有效的二进制格式,然后让另一个程序(可能具有较低的CPU优先级)对其进行处理。
| 归档时间: |
|
| 查看次数: |
66383 次 |
| 最近记录: |