Ho snort configurato per registrare unified2 nel mio file snort.conf e sto usando barnyard2 per analizzare i risultati unified2. Funziona, a meno che non riesca a capire come estrarre il riferimento all'evento (xrif) dai dati. Ho il mio file reference.config con i diversi URL e il file sid-msg.map ha tutti gli identificativi di firma e i riferimenti al loro interno, ma non riesco a mapparli. Ho messo l'output in CSV per testare e provato molte parole chiave diverse, ma senza fortuna. Qualche idea?
snort.conf ... output unified2: nomefile snort.u2, limite 128 ... barnyard2.conf (Ho provato ogni parola che potrei essere la parola chiave ID di riferimento, ma nulla funziona) output alert_csv: /var/log/snort/csv.out timestamp, msg, srcip, sport, dstip, dport, classname, event_reference, xref, Xref, ref, event_xref, xref_uri