Ich habe mit snort-IDS gearbeitet. Ich habe einige Log-Dateien unter / var / log / snort. Die Dateien sind vom Typ snort.log.xxxx. Wie sehe ich diese Datei ???
Ich werde diese Frage erneut öffnen und versuchen, die anderen Antworten zusammenzuführen, da ich denke, dass sie nicht richtig erklärt werden.
snort.log.xxx Dateityp Snort könnte Ihnen zwei Arten von Ausgabedateien ausgegeben haben, abhängig von der snort Ausgabe-Option für diese Dateien: tcpdump pcap und snort's unified2. Um zu wissen, welche Art Ihre Dateien sind, verwenden Sie den Befehl unix file .
Es wird Ihnen sagen tcpdump capture file (goto 2) oder data (goto 3).
Sie können als normale Capture-Datei lesen: Sie können wireshark , tshark -r , tcpdump -r verwenden oder sie sogar in snort mit snort -r neu injizieren.
"Natives" Snort-Format. Sie können es mit u2spewfoo <file> (in snort enthalten) lesen oder es in ein pcap mit u2boat konvertieren.
Wenn Sie es in ein anderes Warnsystem (z. B. syslog) umwandeln möchten, können Sie barnyard2 verwenden. Barnyard2 ist ein einfaches Tool, aber die Konfiguration ist ein wenig komplex, also sagen Sie mir, wenn Sie mehr Informationen benötigen!
Barnyard2 ist auch in der Lage, es "kontinuierlich" zu transformieren, d. h. die vorherigen Werkzeuge sind eines: sie drucken / konvertieren eine Datei einmal und den Ausgang. Barnyard2 kann Snort-Log-Verzeichnisse überwachen und Ereignisse zu dem Zeitpunkt verarbeiten, an dem sie von Snort erzeugt werden.
Das Unified2-Format wird verwendet, da es sich um ein altes einzigartiges Snippet-Design handelt. Die Zeit, die Snort damit verbringt, das Syslog, den Bildschirm usw. auf die ACK-Warnung zu warten, ist die Zeit, die snort nicht zur Analyse von Paketen verwendet. Also, war der Weg, dann in einem effizienten Binärformat zu dumpen, und ein anderes Programm (vielleicht mit niedriger CPU-Priorität) zu lassen, um sie zu verarbeiten.