如何在snort alert中獲取VLAN ID？

Question

我想解析snort警報並過濾必要的信息，例如惡意內部機器所屬的vlan id！ 但是，我只能得到消息，源和目標IP，我也需要獲取VLAN ID。

感謝

Answer 1

（假設你正在使用Unified2日誌格式）

你可以得到VLAN ID登錄指定的警報配置時，使用vlan_event_types參數：

output alert_unified2: \ 
    filename <base filename> [, <limit <size in MB>] [, nostamp] [, mpls_event_types] \ 
    [, vlan_event_types] 

當啓用並且數據包包含VLAN標頭時，日誌項目將包含以下記錄vlan id：

E. Unified2 IDS事件（第2版）

sensor id    4 bytes 
event id    4 bytes 
event second   4 bytes 
event microsecond  4 bytes 
signature id   4 bytes 
generator id   4 bytes 
signature revision  4 bytes 
classification id  4 bytes 
priority id    4 bytes 
ip source    4 bytes 
ip destination   4 bytes 
source port/icmp type 2 bytes 
dest. port/icmp code 2 bytes 
protocol    1 byte 
impact flag    1 byte 
impact     1 byte 
blocked     1 byte 
mpls label    4 bytes 
vlan id     2 bytes 
padding     2 bytes 

Unified2 IDS事件（第2版）被記錄爲哪個 包含任一MPLS或VLAN報頭的IPv4數據包。否則Unified2 IDS事件是 記錄。

• 注意，您需要通過使用--enable-MPLS，以配置爲 已經Snort的填寫MPLS標籤領域。

• 請注意，您需要使用 mpls_event_types或vlan_event_types來配置統一2日誌記錄以獲取此記錄類型。

[https://www.snort.org/faq/readme-unified2]