我正在尝试解析 snort 警报并过滤必要的信息,例如恶意内部机器所属的 vlan id!但是,我只能获取消息、源 IP 和目标 IP,还需要获取 VLAN ID。
谢谢
问问题
404 次
1 回答
0
(假设您使用的是 Unified2 日志格式)
vlan_event_types您可以在指定警报配置时使用参数获取记录的 VLAN ID :
output alert_unified2: \
filename <base filename> [, <limit <size in MB>] [, nostamp] [, mpls_event_types] \
[, vlan_event_types]
当启用并且数据包包含 VLAN 标头时,日志项将包含以下记录vlan id:
E. Unified2 IDS 事件(版本 2)
sensor id 4 bytes event id 4 bytes event second 4 bytes event microsecond 4 bytes signature id 4 bytes generator id 4 bytes signature revision 4 bytes classification id 4 bytes priority id 4 bytes ip source 4 bytes ip destination 4 bytes source port/icmp type 2 bytes dest. port/icmp code 2 bytes protocol 1 byte impact flag 1 byte impact 1 byte blocked 1 byte mpls label 4 bytes vlan id 2 bytes padding 2 bytes为包含 MPLS 或 VLAN 标头的 IPv4 数据包记录 Unified2 IDS 事件(版本 2)。否则会记录一个 Unified2 IDS 事件。
请注意,您需要通过 --enable-mpls 进行配置,以便让 Snort 填写 mpls 标签字段。
请注意,您需要使用 mpls_event_types 或 vlan_event_types 配置 Unified2 日志记录来获取此记录类型。
于 2017-09-08T06:01:02.053 回答