У меня есть Snort для Windows.
Я пытаюсь сделать файл журнала, скажем, ограничение размера 1 МБ.
Когда файл журнала достигает максимума 1 МБ, я хочу, чтобы он
закройте этот файл (snort.log.1234567890)
и откройте новый экземпляр файла журнала (snort.log.1234567891)
пока это не достигнет максимума,
затем создайте другой экземпляр файла журнала (snort.log.1234567892).
Я должен быть в состоянии взять закрытые файлы журнала и прочитать
их обратно и проанализировать их, как Snort продолжает делать
новые журналы.
Я пытался установить такое ограничение размера в файле snort.conf,
с размером 1 (и без nostamp), который должен сделать
уникальный snort.log.123456wxyz (расширение отметки времени).
Я пробовал это на snort.log.123 ..., snort.alert.123 ...,
tcpdump.123 ... но не увенчались успехом.
Результаты либо не расширены по времени, либо не
ограничьте размер до 1 МБ, и один и тот же файл будет расти и расти.