Ti stai avvicinando a questo nel modo sbagliato. Un approccio molto migliore è utilizzare un motore di acquisizione come Daemonlogger e quindi elaborare i dati in tempo quasi reale.
Il motivo è che, proprio come Snort, più si aggiunge il set di regole, più lentamente funzionerà. Non fraintendermi, è molto buono, ma questo non è un modo ideale per configurarlo. Se hai a che fare con collegamenti ben utilizzati ad alta velocità, Snort potrebbe iniziare a eliminare i pacchetti.
Marty Roesch, creato da Snort, ha scritto Daemonlogger per risolvere esattamente questo problema. Daemonlogger viene utilizzato per l'acquisizione rapida di pacchetti completi, che viene quindi analizzato da una o più istanze Snort (o altri strumenti come SANCP, Silk, ecc.)
Piuttosto che ricominciare da capo, ti suggerisco di guardare SecurityOnion, che ha già tutte queste cose già installate e pronte per l'uso, oppure guarda NSMWiki.org, che ha grandi informazioni generali e molte informazioni specifiche su Sguil , che è un'eccellente architettura e interfaccia NSM.