Come posso leggere i log snort in modalità NIDS?

Ho capito che il problema riguarda il formato dell'output di snort, i registri che posso leggere sono la registrazione degli avvisi, i registri che non posso leggere l'area unificata2.

Unified2 can work in one of three modes, packet logging, alert logging, or true unified logging. Packet logging includes a capture of the entire packet and is specified with log_unified2. Likewise, alert logging will only log events and is specified with alert unified2. To include both logging styles in a single, unified file, simply specify unified2.

link

Thx

Innanzitutto, l'opzione -r è correlata all'analisi dei file .pcap . Ecco perché ti sei imbattuto in questo errore:

ERROR: Can't initialize DAQ pcap (-1) - unknown file format

Per essere in grado di catturare i log Snort, è necessario specificare se andrà su syslog o verrà memorizzato in un file desiderato. In entrambe le opzioni sarà necessario un monitor per leggere gli ultimi registri generati (ad es .: tail(1) può essere tuo amico in quel momento.)

In base alla manpage snort(8) :

-l : imposta il log di output. Di default è impostato su /var/snort/log ;

-i : imposta l'interfaccia specifica per sniffare i pacchetti;

-s : invia il registro a syslog;

-c : imposta il file di configurazione che contiene le regole;

Esempio di utilizzo:

Acquisisci log da eth0 :

./snort -i eth0 -c /etc/snort/snort.conf -l ./snort-eth0.log

Usa tail -f ./snort-eth0.log su un'altra console per guardare i log in tempo reale. Se si desidera inviare a syslog, basta aggiungere -s alla fine della riga di comando di snort.

Cattura i log da snort in esecuzione in modalità Daemon:

Per prima cosa, devi sapere dove lo snort sta sputando i log. Per fare ciò, controlla cosa è stato specificato nel flag -l . Se non è specificato, ricorda che il percorso predefinito è /var/snort/log .

ps -p $(pidof /opt/snort3/bin/snort) -f
...
tail -f /var/snort/log