Wie zu sehen snort-log-Dateien
Habe ich die Arbeit mit snort-IDS. Ich habe einige log-Dateien unter /var/log/snort.
Die Dateien sind vom Typ snort.log.xxxx. Wie bekomme ich diese Datei???
Du musst angemeldet sein, um einen Kommentar abzugeben.
Habe ich die Arbeit mit snort-IDS. Ich habe einige log-Dateien unter /var/log/snort.
Die Dateien sind vom Typ snort.log.xxxx. Wie bekomme ich diese Datei???
Du musst angemeldet sein, um einen Kommentar abzugeben.
Tatsächlich ist, können Sie Lesen Sie in der Kommandozeile oder terminal wie
snort -r xx.log.xxx$
.Für details, Hinweis auf das Handbuch von snort.Ich wieder diese Frage versucht die Zusammenführung der andere Antworten, da ich denke, dass Sie nicht richtig erklärt.
snort.log.xxx
DateitypSnort konnte ausgegeben haben Sie zwei Arten von Ausgabe-Dateiformat, abhängig von den snort-Ausgabe-plugin option für die Dateien: pcap tcpdump und snort ist unified2. Um zu wissen, welche sind Ihre Dateien, verwenden Sie die unix -
file
Befehl.Wird es Ihnen sagen
tcpdump capture file
(goto 2) oderdata
(gehe zu 3).Können Sie Lesen, wie eine normale capture-Datei: Sie können
wireshark
,tshark -r
,tcpdump -r
oder sogar re-injizieren Sie in der snort mit dersnort -r
."Native" snort-format. Lesen Sie es mit
u2spewfoo <file>
(im snort), oder wandeln Sie es in ein pcap mitu2boat
.Wenn Sie wollen, um es zu transformieren, um ein anderes alert-system (syslog, zum Beispiel), die Sie verwenden können, barnyard2. Barnyard2 ist ein einfaches Werkzeug, aber die Konfiguration ist ein bisschen Komplex, so sagen Sie mir, wenn Sie weitere Informationen benötigen!
Barnyard2 ist auch fähig, sich zu verwandeln, "kontinuierlich", d.h., die bisherigen tools sind eine kurze: Sie drucken/konvertieren Sie eine Datei und einen Ausgang. Barnyard2 ist in der Lage zu überwachen snort-log-Verzeichnis und-Prozess Veranstaltungen an der Zeit, Sie sind produziert von snort.
Den unified2-format wird verwendet, da snort alte einzigartige thread design. Die Zeit snort wartet verbringen syslog, Bildschirm, etc. zu ACK alert ist an der Zeit, dass snort nicht mit Pakete analysiert werden. So war der Weg-dump, dann in einem effizienten binären format, und lassen Sie ein anderes Programm (vielleicht mit niedriger CPU-Priorität) zu verarbeiten.
Vorausgesetzt, Sie sind angemeldet binäre PCAP-format, dann Wireshark ist dein Freund.
Wird die Ausgabe auf Ihren Bildschirm. Benutzen Sie tcpdump, da Sie im pcap-format.
Oder verwenden Sie barnyard2, Sie zu Lesen, wenn Sie in unified2 format und sichern Sie die Ergebnisse in die Datenbank ein.
Ist das, was ich Tue.