我用这个命令 /usr/loca/bin/snort -ieth0 -l /var/log/snort 捕获了流量,因为在后面我从来没有放 -b 所以它不是二进制文件..但是当我写一个程序来读取日志文件似乎显示所有未知单词......所以这意味着它仍然是一个二进制文件仪式......任何其他指定它的方法必须是 ASCII 格式?是否需要在 snort.conf 上进行配置?
问问题
6976 次
3 回答
1
您可以使用snort -A console -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii
于 2016-12-25T07:41:47.753 回答
0
Alternatively, you may enable ASCII based inbuild syslog support from snort configuration:
in /etc/snort/snort.conf: output alert_syslog: host=dest_ip:dest_port, LOG_USER LOG_DEBUG LOG_PERROR
This will intern generates syslog in /var/log/messages:
11/02-20:54:28.404290 [] [1:478:2] sig_name_p80 [] [Classification: Potentially Bad Traffic] [Priority: 5 ] {TCP} 172.30.1.248:63880 -> 172.30.2.69:30002 11/02-20:54:28.404330 [] [1:478:2] sig_name_p80 [] [Classification: Potentially Bad Traffic] [Priority: 5 ] {TCP} 172.30.2.69:30002 -> 172.30.1.248:63880
于 2014-11-04T05:00:50.740 回答
0
大多数应用程序读取二进制日志格式。同样出于性能原因,首选二进制格式。我会简单地记录到统一的日志格式并使用 barnyard 将日志即时转换为文本。这将使您能够灵活地使用二进制日志和文本。
于 2011-09-28T23:18:51.740 回答