我一直在使用 snort-IDS。我在 /var/log/snort 有一些日志文件。这些文件的类型为 snort.log.xxxx。这个文件怎么看???
问问题
90814 次
5 回答
9
其实你可以在命令行或者终端中读取,snort -r xx.log.xxx$具体可以参考snort的手册。
于 2012-02-26T09:34:40.247 回答
9
我将重新打开这个问题,尝试合并其他答案,因为我认为它们没有得到正确解释。
- 猜测
snort.log.xxx文件类型
根据该文件的 snort 输出插件选项,Snort 可以为您输出两种输出文件格式:tcpdump pcap 和 snort 的统一 2。为了知道您的文件是什么类型,请使用 unixfile命令。
它会告诉你tcpdump capture file(goto 2) 或data(goto 3)。
- tcpdump
您可以像普通的捕获文件一样读取:您可以使用wireshark、tshark -r、tcpdump -r,甚至在 snort 中使用snort -r.
- 统一2
“本机” snort 格式。您可以使用u2spewfoo <file>(包含在 snort 中)阅读它,或者使用u2boat.
如果您想将其转换为另一个警报系统(例如 syslog),您可以使用 barnyard2。Barnyard2 是一个简单的工具,但配置有点复杂,如果您需要更多信息,请告诉我!
Barnyard2 还能够“连续”地对其进行转换,即,以前的工具是短的:它们一次打印/转换一个文件,然后退出。Barnyard2 能够监控 snort 日志目录并在事件由 snort 生成时对其进行处理。
- 更多信息
使用unified2 格式是因为snort 独特的线程设计。snort 等待 syslog、screen 等收到 ACK 警报的时间是 snort 不用于分析数据包的时间。因此,方法是以有效的二进制格式转储然后让另一个程序(可能具有低 CPU 优先级)来处理它们。
于 2017-03-24T08:43:51.880 回答
4
Assuming they are logged in binary PCAP format, then Wireshark is your friend.
于 2010-12-10T00:57:37.847 回答
2
sudo tcpdump -r snort.log.XXXX
将其输出到您的屏幕。使用 tcpdump,因为它们是 pcap 格式。
于 2015-09-12T18:57:48.277 回答
1
或者您可以使用barnyard2读取它们(如果它们是统一 2 格式)并将结果转储到数据库中。
这就是我正在做的事情。
于 2014-02-14T09:13:06.827 回答