我一直在使用snort-IDS。我在/ var / log / snort有一些日志文件。 这些文件的类型为snort.log.xxxx。我如何查看此文件???
答案 0 :(得分:8)
实际上,您可以在命令行或终端中阅读它们,如snort -r xx.log.xxx$。有关详细信息,请参阅snort手册。
答案 1 :(得分:5)
我会重新尝试合并其他答案的问题,因为我认为它们没有得到适当的解释。
snort.log.xxx档案类型 Snort可能会输出两种输出文件格式,具体取决于该文件的snort输出插件选项:tcpdump pcap和snort  unified2。要了解您的文件类型,请使用unix file命令。
它会告诉你tcpdump capture file(转到2)或data(转到3)。
您可以将其作为普通捕获文件阅读:您可以使用wireshark,tshark -r,tcpdump -r,甚至可以使用snort -r在snort中重新注入它们。
&#34;本机&#34; snort格式。您可以使用u2spewfoo <file>(包含在snort中)阅读它,或将其转换为带有u2boat的pcap。
如果要将其转换为另一个警报系统(例如,syslog),则可以使用barnyard2。 Barnyard2是一个简单的工具,但配置有点复杂,所以请告诉我你是否需要更多信息!
Barnyard2也能够连续转换它,即先前的工具只有一个:它们一次打印/转换一个文件,然后退出。 Barnyard2能够监听snort日志目录并在snort生成它们时处理事件。
使用unified2格式是因为snort旧的独特线程设计。 snort等待系统日志,屏幕等等到ACK警报的时间是snort不用于分析数据包的时间。因此,方法是以高效的二进制格式转储,并让另一个程序(可能具有低CPU优先级)来处理它们。
答案 2 :(得分:3)
假设他们以二进制PCAP格式登录,那么Wireshark就是你的朋友。
答案 3 :(得分:2)
sudo tcpdump -r snort.log.XXXX
将其输出到您的屏幕。使用tcpdump,因为它们是pcap格式。
答案 4 :(得分:1)
或者如果它们是unified2格式,您可以使用barnyard2来读取它们并将结果转储到数据库中。
多数民众赞成我在做什么。