如何在snort警报中获取VLAN ID？

Question

我正在尝试解析snort警报并过滤必要的信息，比如恶意内部机器所属的vlan！但是，我只能获取报文、源ID和目的ID，还需要获取VLAN ID。

谢谢

Answer 1

(假设您使用的是Unified2日志格式)

您可以在指定告警配置时使用vlan_event_types参数获取记录的VLAN：

output alert_unified2: \
    filename <base filename> [, <limit <size in MB>] [, nostamp] [, mpls_event_types] \
    [, vlan_event_types]

启用后，如果数据包包含VLAN头，日志项目将包含以下带有vlan id的记录

E. Unified2入侵检测事件(版本2)

端口/icmp代码2字节协议1字节影响标志1字节影响1字节阻塞1字节mpls标签4字节vlan id 2字节填充2字节

对于包含Unified2或VLAN头的IPv4数据包，会记录MPLS事件(版本2)。否则，将记录一个Unified2 IDS事件。

[https://www.snort.org/faq/readme-unified2]