如何在NIDS模式下读取snort日志？

Question

我正在从防火墙读取一些snort日志，我可以用"snort -r文件“读取一些日志。

但是，当我尝试了最新的日志时，我得到了以下错误：

在包转储模式下运行的snort -r snort.log -==初始化Snort =-初始化输出插件！配置为读取文件的pcap DAQ。错误:无法初始化DAQ pcap (-1) -未知文件格式的致命错误，退出。

也许snort是在NIDS模式下运行的，我不知道，如果有帮助的话，我已经进入这个系统了。有什么材料可以帮助我理解和排除这个问题吗？

谢谢!

Answer 1

我发现问题是关于snort输出的格式，我可以读取的日志是警报日志记录，那些日志我不能读取区域unified2。

Unified2可以以三种模式之一工作，即数据包日志记录、警报日志记录或真正的统一日志记录。数据包日志记录包括捕获整个数据包，并使用log_unified2指定。同样，警报日志记录将只记录事件，并使用警报unified2指定。要将这两种日志记录样式都包含在一个统一的文件中，只需指定unified2。

https://www.snort.org/faq/readme-unified2

Thx

Answer 2

首先，选项-r与分析.pcap文件有关。这就是为什么您遇到了这样的错误输出：

ERROR: Can't initialize DAQ pcap (-1) - unknown file format

为了能够捕获Snort日志，您需要指定它是进入syslog还是存储在某个所需的文件中。在这两个选项中，都需要一个监视器来读取生成的最新日志(例如：tail(1)在那时可以是您的朋友)。

根据snort(8)手册：

-l：设置输出日志。默认情况下设置为/var/snort/log；

-i：设置特定的接口来嗅探数据包；

-s：将日志发送到syslog；

-c：设置包含规则的配置文件；

使用示例：

从eth0:

捕获日志

./snort -i eth0 -c /etc/snort/snort.conf -l ./snort-eth0.log

在另一个控制台上使用tail -f ./snort-eth0.log实时查看日志。如果要发送到syslog，只需在snort命令行的末尾添加-s即可。

从运行在守护进程模式下的snort捕获日志：

首先，您需要知道snort在哪里吐痰日志。为此，请检查标志-l中指定的内容。如果没有指定它，请记住默认路径是/var/snort/log。

ps -p $(pidof /opt/snort3/bin/snort) -f
...
tail -f /var/snort/log