如何查看snort日志文件

Question

我一直在使用snort-IDS。我在/var/ log /snort中有一些日志文件。这些文件的类型为snort.log.xxxx。如何查看此文件？

Answer 1

实际上，您可以在命令行或终端中阅读它们，如snort -r xx.log.xxx$.For details，参考snort手册。

Answer 2

我将重新讨论这个问题，尝试合并其他答案，因为我认为它们没有得到适当的解释。

1. Guess snort.log.xxx文件类型

根据文件Snort输出插件选项，snort可以输出两种输出文件格式: tcpdump pcap和snort的unified2。要知道您的文件是哪种类型的文件，请使用unix file命令。

它会告诉你tcpdump capture file (goto 2)或data (goto 3)。

1. tcpdump

您可以将其作为普通捕获文件读取:可以使用wireshark、tshark -r、tcpdump -r，甚至可以使用snort -r将它们重新注入到snort中。

1. Unified2

“原生”snort格式。您可以使用u2spewfoo <file> (包含在snort中)读取它，或者使用u2boat将其转换为pcap。

如果要将其转换为另一个警报系统(例如syslog)，可以使用barnyard2。Barnyard2是一个简单的工具，但是配置有点复杂，所以如果您需要更多信息，请告诉我！

Barnyard2也能够“连续”地转换它，也就是说，以前的工具是短小精悍的:它们打印/转换一个文件一次，然后退出。Barnyard2能够监视snort日志目录，并在snort生成事件时对其进行处理。

1. 更多信息

之所以使用unified2格式，是因为snort旧的独特的线程设计。snort等待syslog、screen等发出ACK警报所花费的时间是snort不用于分析数据包的时间。因此，方法是以一种有效的二进制格式转储，并让另一个程序(可能具有低CPU优先级)来处理它们。

Answer 3

假设它们是以二进制PCAP格式记录的，那么Wireshark就是您的朋友。