指定snort输出文件？

Question

我对snort输出感到困惑。输出文件(S)应该在哪里指定？

或者，更具体地说，我已经编写了两个文件(警报和snort.log.xxx)，但是只指定了一个输出文件(snort.log.xx)，并且只需要一个输出文件(snort.log.xx)。

警报文件从哪来的？

顺便说一句，barnyard2目前没有运行。

提前谢谢！

详细信息：

正在编写的文件如下：

$ ls -la /var/snort/eth4

drwxrwxr-x+ 3 snort snort     4096 Oct 11 10:08 .
drwxr-xr-x. 3 snort snort     4096 Oct 11 10:03 ..
-rw-rw-r--+ 1 snort snort 12535192 Oct 11 10:22 alert                 <-
-rw-rw-r--+ 1 snort snort  1345798 Oct  9 03:28 alert-20111009.gz
-rw-rw-r--+ 1 snort snort  1488789 Oct 10 03:36 alert-20111010.gz
-rw-rw-r--+ 1 snort snort  1195682 Oct 11 03:40 alert-20111011.gz
drwxrwxr-x+ 2 snort snort     4096 Oct 11 03:40 archive
-rw-rw-r--+ 1 snort snort   357148 Oct 11 10:22 snort.log.1318356523  <-

但是我的/etc/snort/snort.conf只有一个“output”配置指令：

   output unified2: filename snort.log, limit 128

由于这是红帽子，所以必须同时使用/etc/sysconfig/snort和/etc/init.d/snortd来确定目标'-l‘的位置，我想是：

/var/snort/eth4

这里是ps ax \ grep snort

6851 ?        Ssl    0:51 /usr/sbin/snort -A fast -b -d -D -I -i eth4 -u snort -g snort -c /etc/snort/snort.conf -l /var/snort/eth4

检查这两个文件时，警报看起来像一个ascii列表中的analomies，而snort.log.xxx看起来像一个二进制文件，大概是datastream捕获的吗？

警报文件从哪来的？

Answer 1

Snort应用程序有一个非常健壮的日志子系统。通过启用unified日志格式，您应该并且正在看到两种类型的日志：

1. 警报文件-包含有关事件的高级信息。
2. 日志文件-包含更详细的信息，包括包转储。

这两个文件都以二进制格式写入磁盘。虽然这使得分析人员更难进行审查，但对于应用程序来说，它要快得多。关于统一输出插件的Snort的更多信息(虽然不多)，将是值得一读的。

如果您想要触发警报的原始文本版本，我建议使用赛斯洛输出类型。这是一个更灵活的方法，因为它允许您管理主机上的日志记录，而不是应用程序。此外，由于您已经翻转了-d命令行开关，触发警报的每个数据包的捕获将以pcap格式保存。这仍然为您提供了用于假阳性分析的良好信息。

Answer 2

当捕获的数据包与规则匹配时，alert文件将记录警报。它来自..。-A fast，您在启动Snort时指定了它。