SNORT:如何将日志文件保存为ASCII格式?

时间:2011-03-27 15:53:31

标签: snort

我使用此命令捕获了流量 / usr / loca / bin / snort -ieth0 -l / var / log / snort 从后面我从来没有把-b所以它不是二进制文件.. 但是,当我写一个程序来读取日志文件时,似乎显示所有未知的单词...所以这意味着它仍然是一个二进制文件仪式... 指定它的任何其他方法必须是ASCII格式? 喜欢在snort.conf上配置还是需要?

3 个答案:

答案 0 :(得分:1)

您可以使用snort -A console -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii

答案 1 :(得分:0)

大多数应用程序都读取二进制日志格式。出于性能原因,二进制格式也是首选。我只需登录统一日志格式并使用barnyard将日志转换为文本即时。这将允许您灵活地使用二进制日志和文本。

答案 2 :(得分:0)

或者,您可以从snort配置启用基于ASCII的内置syslog支持:

/etc/snort/snort.conf中的

: 输出alert_syslog:host = dest_ip:dest_port,LOG_USER LOG_DEBUG LOG_PERROR

这将在/ var / log / messages中生成syslog:

11 / 02-20:54:28.404290 [] [1:478:2] sig_name_p80 [] [分类:潜在的不良交通] [优先级:5        ] {TCP} 172.30.1.248:63880 - > 172.30.2.69:30002 11 / 02-20:54:28.404330 [] [1:478:2] sig_name_p80 [] [分类:潜在的不良交通] [优先级:5        ] {TCP} 172.30.2.69:30002 - > 172.30.1.248:63880