Wie zu sehen snort-log-Dateien

Ich wieder diese Frage versucht die Zusammenführung der andere Antworten, da ich denke, dass Sie nicht richtig erklärt.

1. Denke snort.log.xxx Dateityp

Snort konnte ausgegeben haben Sie zwei Arten von Ausgabe-Dateiformat, abhängig von den snort-Ausgabe-plugin option für die Dateien: pcap tcpdump und snort ist unified2. Um zu wissen, welche sind Ihre Dateien, verwenden Sie die unix - file Befehl.

Wird es Ihnen sagen tcpdump capture file (goto 2) oder data (gehe zu 3).

1. tcpdump

Können Sie Lesen, wie eine normale capture-Datei: Sie können wireshark, tshark -r, tcpdump -r oder sogar re-injizieren Sie in der snort mit der snort -r.

1. Unified2

"Native" snort-format. Lesen Sie es mit u2spewfoo <file> (im snort), oder wandeln Sie es in ein pcap mit u2boat.

Wenn Sie wollen, um es zu transformieren, um ein anderes alert-system (syslog, zum Beispiel), die Sie verwenden können, barnyard2. Barnyard2 ist ein einfaches Werkzeug, aber die Konfiguration ist ein bisschen Komplex, so sagen Sie mir, wenn Sie weitere Informationen benötigen!

Barnyard2 ist auch fähig, sich zu verwandeln, "kontinuierlich", d.h., die bisherigen tools sind eine kurze: Sie drucken/konvertieren Sie eine Datei und einen Ausgang. Barnyard2 ist in der Lage zu überwachen snort-log-Verzeichnis und-Prozess Veranstaltungen an der Zeit, Sie sind produziert von snort.

1. Mehr info

Den unified2-format wird verwendet, da snort alte einzigartige thread design. Die Zeit snort wartet verbringen syslog, Bildschirm, etc. zu ACK alert ist an der Zeit, dass snort nicht mit Pakete analysiert werden. So war der Weg-dump, dann in einem effizienten binären format, und lassen Sie ein anderes Programm (vielleicht mit niedriger CPU-Priorität) zu verarbeiten.

sudo tcpdump -r snort.log.XXXX 

Wird die Ausgabe auf Ihren Bildschirm. Benutzen Sie tcpdump, da Sie im pcap-format.