指定snort输出文件?

我对snort输出感到困惑。 输出文件应该在哪里指定?

或者,更具体地说,我有两个文件正在写入(alert和snort.log.xxx),但只有一个指定的输出文件(snort.log.xx),并期望只有一个输出文件(snort.log.xx )。

警报文件来自哪里?

顺便说一下,稗2此时不运行。

提前致谢!


细节:

正在编写的文件是:

$ ls -la / var / snort / eth4

drwxrwxr-x+ 3 snort snort 4096 Oct 11 10:08 . drwxr-xr-x. 3 snort snort 4096 Oct 11 10:03 .. -rw-rw-r--+ 1 snort snort 12535192 Oct 11 10:22 alert <- -rw-rw-r--+ 1 snort snort 1345798 Oct 9 03:28 alert-20111009.gz -rw-rw-r--+ 1 snort snort 1488789 Oct 10 03:36 alert-20111010.gz -rw-rw-r--+ 1 snort snort 1195682 Oct 11 03:40 alert-20111011.gz drwxrwxr-x+ 2 snort snort 4096 Oct 11 03:40 archive -rw-rw-r--+ 1 snort snort 357148 Oct 11 10:22 snort.log.1318356523 <- 

但是我的/etc/snort/snort.conf只有一个'output'configuration指令:

  output unified2: filename snort.log, limit 128 

由于这是redhat,所以必须同时使用/ etc / sysconfig / snort和/etc/init.d/snortd来找出目标'-l'的位置,我认为:

 /var/snort/eth4 

这里是ps ax | grep snort

 6851 ? Ssl 0:51 /usr/sbin/snort -A fast -b -d -D -I -i eth4 -u snort -g snort -c /etc/snort/snort.conf -l /var/snort/eth4 

检查这两个文件,警报看起来像一个ascii的analomies列表,snort.log.xxx看起来像一个二进制文件,大概是数据stream捕获?

所以警报文件来自哪里?

Snort应用程序有一个非常健壮的日志子系统。 通过启用unified日志格式,您应该看到两种types的日志:

  1. 警报文件 – 包含关于事件的高级信息
  2. 日志文件 – 包含更详细的信息,包括数据包转储

这两个文件都以二进制格式写入磁盘。 虽然这使分析师难以审查,但应用程序的速度要快得多。 对于统一输出插件的Snort Docs来说,再多一点,尽pipe数量不多,但值得一读。

如果你想要触发警报的原始文本版本,我会推荐syslog输出types。 这是更灵活的一种,因为它允许您在主机而不是应用程序上pipe理日志logging。 此外,由于您将-d命令行开关翻转,捕获每个触发警报的数据包将以pcap格式保存。 这仍然给你很好的信息用于误报分析。

alert文件在捕获的数据包与规则匹配时logging警报。 它来自… -A fast你启动Snort时指定的一个-A fast