私はsnort-IDSを使用しています。/var/log/snortにいくつかのログファイルがあります。ファイルのタイプはsnort.log.xxxxです。このファイルを表示するにはどうすればよいですか?
実際には、snort -r xx.log.xxx$
のようなコマンドラインまたはターミナルで読むことができます。詳細については、snortのマニュアルを参照してください。
適切に説明されていないと思うので、他の回答をマージしてこの質問を再開します。
snort.log.xxx
ファイルタイプを推測しますSnortは、そのファイルのsnort出力プラグインオプションに応じて、tcpdumppcapとsnortのunified2の2種類の出力ファイル形式を出力する可能性があります。ファイルの種類を知るには、unix file
コマンドを使用します。
tcpdump capture file
(goto 2)またはdata
(goto 3)が表示されます。
通常のキャプチャファイルとして読み取ることができます。wireshark
、tshark -r
、tcpdump -r
を使用するか、snort -r
を使用してsnortに再挿入することもできます。
「ネイティブ」snortフォーマット。 u2spewfoo <file>
(snortに含まれています)で読み取るか、u2boat
でpcapに変換できます。
別のアラートシステム(syslogなど)に変換する場合は、barnyard2を使用できます。 Barnyard2はシンプルなツールですが、構成が少し複雑なので、さらに情報が必要な場合は教えてください。
Barnyard2は、それを「継続的に」変換することもできます。つまり、以前のツールは1つ短いものです。つまり、1つのファイルを一度に印刷/変換し、終了します。 Barnyard2は、snortログディレクトリを監視し、snortによって生成されたイベントを処理できます。
統一された2形式が使用されるのは、古い独自のスレッド設計が必要だからです。 snortがsyslogや画面などをACKアラートまで待機するのに費やす時間は、snortがパケットの分析に使用していない時間です。したがって、その方法は、効率的なバイナリ形式でダンプし、別のプログラム(おそらくCPU優先度が低い)にそれらを処理させることでした。
それらがバイナリPCAP形式でログに記録されていると仮定すると、 Wireshark があなたの友達です。
Sudo tcpdump -r snort.log.XXXX
画面に出力します。 tcpdumpはpcap形式であるため、使用してください。
または、 barnyard2 を使用して、unified2形式の場合はそれらを読み取り、結果をデータベースにダンプすることができます。
それは私がやっていることです。