我一直在使用snort-IDS。我在/ var/log/snort有一些日志文件。 这些文件的类型为snort.log.xxxx。我如何查看此文件?如何查看snort日志文件
回答
假设他们以二进制PCAP格式登录,那么Wireshark是你的朋友。
实际上,您可以在命令行或终端(如snort -r xx.log.xxx$
)上阅读它们。有关详细信息,请参阅snort手册。
或者您可以使用barnyard2以统一格式2读取它们并将结果转储到数据库中。
那就是我在做什么。
sudo tcpdump -r snort.log.XXXX
将输出到您的屏幕。使用tcpdump,因为它们是pcap格式。
我会重新打开这个问题,尝试合并其他答案,因为我认为他们没有得到正确解释。
- 猜测
snort.log.xxx
文件类型
的Snort可以有输出,您两种依赖于哼输出插件选项的文件输出的文件格式:tcpdump的PCAP和Snort的unified2。为了知道你的文件是什么类型的,使用unix file
命令。
它会告诉你tcpdump capture file
(转到2)或data
(转到3)。
- tcpdump的
- Unified2
- 更多信息
可以读取作为一个正常捕获文件:可以使用wireshark
,tshark -r
,tcpdump -r
,或甚至与snort -r
重新注入它们哼。
“天然” 打鼾格式。您可以使用u2spewfoo <file>
(包含在snort中)读取它,或将其转换为u2boat
的pcap。
如果要将其转换为另一个警报系统(例如syslog),可以使用barnyard2。 Barnyard2是一个简单的工具,但配置有点复杂,所以告诉我你是否需要更多信息!
Barnyard2也可以“连续”转换它,即先前的工具是一个短的:它们一次打印/转换一个文件,然后退出。 Barnyard2能够监控snort日志目录并在snort生成时处理事件。
的unified2格式被使用是因为老打鼾唯一线程设计。时间snort花费等待系统日志,屏幕等来确认提醒是snort未用于分析数据包的时间。因此,方法是以高效的二进制格式转储,并让另一个程序(可能具有低CPU优先级)来处理它们。
- 1. 查看Unix日志文件
- 2. Umbraco查看日志文件
- 3. SNORT:如何将日志文件保存为ASCII格式?
- 4. WPF日志文件查看器组件
- 5. 解码Snort的日志
- 6. HTML中的日志文件查看器
- 7. 如何以文本人类可读格式生成snort日志文件?
- 8. 查看git日志
- 9. 如何查看三星智能电视日志查看器中的日志
- 10. 如何查看带终端的实时日志文件?
- 11. 如何配置链锯捆绑以查看log4j日志文件?
- 12. 如何在PowerShell中查看远程日志文件的内容?
- 13. Linux - 如何从程序脚本查看日志文件?
- 14. 如何查看日志中每次提交的更改文件?
- 15. 如何在本地运行时查看Azure日志文件?
- 16. 如何在Eclipse中查看java日志文件
- 17. 您如何实时查看日志文件?
- 18. 如何查看由屏幕生成的日志文件(screenlog.0)
- 19. 如何查看SQL Server 2005事务日志文件
- 20. 如何复制并粘贴日志文件查看器
- 21. 如何在MySQL中查看日志文件?
- 22. snort警报和snort日志规则操作有什么区别?
- 23. 如何从Slog中查看日志
- 24. 如何查看Fabric Composer的日志
- 25. 如何查看Android Orchestrator日志?
- 26. 如何从iPhone查看日志?
- 27. vim-go:如何查看日志:GoTestFunc -v?
- 28. DTP如何查看状态/日志?
- 29. React Native和Stetho:如何查看日志
- 30. 如何在parse-server上查看日志?
如果您发布_how_您正在阅读它会更有用,因为这是此处发布的实际问题 – Purefan 2016-11-01 22:58:17