我正在尝试解析snort警报并过滤必要的信息,例如恶意内部计算机所属的vlan id! 但是,我只能获取消息,源和目标IP,我也需要获取VLAN ID。
由于
答案 0 :(得分:0)
(假设您使用的是Unified2日志格式)
在指定警报配置时,您可以使用vlan_event_types参数获取记录的VLAN ID:
output alert_unified2: \
filename <base filename> [, <limit <size in MB>] [, nostamp] [, mpls_event_types] \
[, vlan_event_types]
启用且数据包包含VLAN标头时,日志项将包含vlan id的以下记录:
电子。 Unified2 IDS事件(版本2)
sensor id 4 bytes event id 4 bytes event second 4 bytes event microsecond 4 bytes signature id 4 bytes generator id 4 bytes signature revision 4 bytes classification id 4 bytes priority id 4 bytes ip source 4 bytes ip destination 4 bytes source port/icmp type 2 bytes dest. port/icmp code 2 bytes protocol 1 byte impact flag 1 byte impact 1 byte blocked 1 byte mpls label 4 bytes vlan id 2 bytes padding 2 bytes针对IPv4数据包记录Unified2 IDS事件(版本2) 包含MPLS或VLAN标头。否则,Unified2 IDS事件是 记录。
请注意,您需要传递-enable-mpls才能进行配置 将Snort填入mpls标签栏。
请注意,您需要使用其中任何一个配置unified2日志记录 mpls_event_types或vlan_event_types获取此记录类型。