gpt4 book ai didi

logging - 如何查看snort日志文件

转载 作者:行者123 更新时间:2023-12-02 04:02:04 24 4
gpt4 key购买 nike

我一直在使用 snort-IDS。我在/var/log/snort 中有一些日志文件。这些文件的类型为 snort.log.xxxx。我如何查看这个文件???

最佳答案

我将重新打开这个问题,尝试合并其他答案,因为我认为它们没有得到正确的解释。

  1. 猜猜 snort.log.xxx文件类型

Snort 可以输出两种输出文件格式,具体取决于该文件的 snort 输出插件选项:tcpdump pcap 和 snort 的 Unified2。为了知道您的文件是什么类型,请使用 unix file命令。

它会告诉你tcpdump capture file (转到2)或data (转至 3)。

  • tcpdump
  • 您可以将其作为普通捕获文件来读取:您可以使用wireshark , tshark -r , tcpdump -r ,或者甚至用 snort -r 在 snort 中重新注入(inject)它们.

  • 统一2
  • “ native ”snort 格式。您可以使用 u2spewfoo <file> 阅读它(包含在 snort 中),或使用 u2boat 将其转换为 pcap .

    如果您想将其转换为另一个警报系统(例如syslog),您可以使用barnyard2。 Barnyard2是一个简单的工具,但配置有点复杂,所以如果您需要更多信息,请告诉我!

    Barnyard2 还能够“连续”对其进行转换,即以前的工具是一次性的:它们一次打印/转换一个文件,然后退出。 Barnyard2 能够监视 Snort 日志目录并在 Snort 生成事件时对其进行处理。

  • 更多信息
  • 使用unified2格式是因为snort旧有独特的线程设计。 Snort 等待系统日志、屏幕等确认警报所花费的时间是 Snort 不用于分析数据包的时间。因此,方法是以高效的二进制格式转储然后让另一个程序(可能具有低 CPU 优先级)来处理它们。

    关于logging - 如何查看snort日志文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3477081/

    24 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com