Sto utilizzando la versione 2.9.6.0 di Snort e non sono in grado di registrare eventi dal preprocessore di sfportscan utilizzando il formato di file unificato2.
Questo è il conf (in realtà è quello predefinito):
preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { medium }
Se aggiungo logfile { /var/log/snort/portscan.log } gli eventi sono registrati correttamente nel file.
Il mio obiettivo finale è mostrare gli eventi sfportscan in Snorby usando barnyard2.