web-dev-qa-db-ja.com

snortログファイルを表示する方法

私はsnort-IDSを使用しています。/var/log/snortにいくつかのログファイルがあります。ファイルのタイプはsnort.log.xxxxです。このファイルを表示するにはどうすればよいですか?

10
M.S Balagopal

実際には、snort -r xx.log.xxx$のようなコマンドラインまたはターミナルで読むことができます。詳細については、snortのマニュアルを参照してください。

8
Kinka

適切に説明されていないと思うので、他の回答をマージしてこの質問を再開します。

  1. snort.log.xxxファイルタイプを推測します

Snortは、そのファイルのsnort出力プラグインオプションに応じて、tcpdumppcapとsnortのunified2の2種類の出力ファイル形式を出力する可能性があります。ファイルの種類を知るには、unix fileコマンドを使用します。

tcpdump capture file(goto 2)またはdata(goto 3)が表示されます。

  1. tcpdump

通常のキャプチャファイルとして読み取ることができます。wiresharktshark -rtcpdump -rを使用するか、snort -rを使用してsnortに再挿入することもできます。

  1. Unified2

「ネイティブ」snortフォーマット。 u2spewfoo <file>(snortに含まれています)で読み取るか、u2boatでpcapに変換できます。

別のアラートシステム(syslogなど)に変換する場合は、barnyard2を使用できます。 Barnyard2はシンプルなツールですが、構成が少し複雑なので、さらに情報が必要な場合は教えてください。

Barnyard2は、それを「継続的に」変換することもできます。つまり、以前のツールは1つ短いものです。つまり、1つのファイルを一度に印刷/変換し、終了します。 Barnyard2は、snortログディレクトリを監視し、snortによって生成されたイベントを処理できます。

  1. より詳しい情報

統一された2形式が使用されるのは、古い独自のスレッド設計が必要だからです。 snortがsyslogや画面などをACKアラートまで待機するのに費やす時間は、snortがパケットの分析に使用していない時間です。したがって、その方法は、効率的なバイナリ形式でダンプし、別のプログラム(おそらくCPU優先度が低い)にそれらを処理させることでした。

5
eugenioperez

それらがバイナリPCAP形式でログに記録されていると仮定すると、 Wireshark があなたの友達です。

3
Kumba
Sudo tcpdump -r snort.log.XXXX 

画面に出力します。 tcpdumpはpcap形式であるため、使用してください。

2
Pumphouse

または、 barnyard2 を使用して、unified2形式の場合はそれらを読み取り、結果をデータベースにダンプすることができます。

それは私がやっていることです。

1
Polinux