Я снова открою этот вопрос, пытаясь объединить ответы других, поскольку я думаю, что они не объяснены должным образом.
- Угадай
snort.log.xxx Тип файла
Snort мог бы выводить вам два формата выходного файла в зависимости от опции плагина вывода snort для этих файлов: tcpdump pcap и snort's unified2. Чтобы узнать, какие у вас файлы, используйте команду unix file.
Он скажет вам tcpdump capture file (переход 2) или data (переход 3).
- ТСРйитр
Вы можете читать как обычный файл захвата: вы можете использовать wireshark, tshark -r, tcpdump -r или даже повторно вводить их в snort с помощью snort -r.
- Unified2
"Родной" формат фырканья. Вы можете прочитать его с помощью u2spewfoo <file> (входит в snort) или преобразовать в pcap с помощью u2boat.
Если вы хотите преобразовать его в другую систему оповещения (например, в системный журнал), вы можете использовать barnyard2. Barnyard2 - простой инструмент, но его конфигурация немного сложна, поэтому скажите, если вам нужна дополнительная информация!
Barnyard2 также способен преобразовывать его «непрерывно», то есть предыдущие инструменты имеют один короткий: они печатают / конвертируют один файл один раз и выходят. Barnyard2 может отслеживать каталог журналов snort и обрабатывать события во время их создания snort.
- Подробнее
Формат unified2 используется, потому что нюхает старый уникальный дизайн потока. Время, которое snort тратит на ожидание предупреждения системного журнала, экрана и т. Д., - это время, которое snort не использует для анализа пакетов. Таким образом, путь состоял в том, чтобы сделать дамп в эффективном двоичном формате и позволить другой программе (возможно, с низким приоритетом процессора) обрабатывать их.