我一直在使用snort-IDS。我在/ var/log/snort有一些日誌文件。 這些文件的類型爲snort.log.xxxx。我如何查看此文件?如何查看snort日誌文件
回答
假設他們以二進制PCAP格式登錄,那麼Wireshark是你的朋友。
實際上,您可以在命令行或終端(如snort -r xx.log.xxx$
)上閱讀它們。有關詳細信息,請參閱snort手冊。
或者您可以使用barnyard2以統一格式2讀取它們並將結果轉儲到數據庫中。
那就是我在做什麼。
sudo tcpdump -r snort.log.XXXX
將輸出到您的屏幕。使用tcpdump,因爲它們是pcap格式。
我會重新打開這個問題,嘗試合併其他答案,因爲我認爲他們沒有得到正確解釋。
- 猜測
snort.log.xxx
文件類型
的Snort可以有輸出,您兩種依賴於哼輸出插件選項的文件輸出的文件格式:tcpdump的PCAP和Snort的unified2。爲了知道你的文件是什麼類型的,使用unix file
命令。
它會告訴你tcpdump capture file
(轉到2)或data
(轉到3)。
- tcpdump的
- Unified2
- 更多信息
可以讀取作爲一個正常捕獲文件:可以使用wireshark
,tshark -r
,tcpdump -r
,或甚至與snort -r
重新注入它們哼。
「天然」 打鼾格式。您可以使用u2spewfoo <file>
(包含在snort中)讀取它,或將其轉換爲u2boat
的pcap。
如果要將其轉換爲另一個警報系統(例如syslog),可以使用barnyard2。 Barnyard2是一個簡單的工具,但配置有點複雜,所以告訴我你是否需要更多信息!
Barnyard2也可以「連續」轉換它,即先前的工具是一個短的:它們一次打印/轉換一個文件,然後退出。 Barnyard2能夠監控snort日誌目錄並在snort生成時處理事件。
的unified2格式被使用是因爲老打鼾唯一線程設計。時間snort花費等待系統日誌,屏幕等來確認提醒是snort未用於分析數據包的時間。因此,方法是以高效的二進制格式轉儲,並讓另一個程序(可能具有低CPU優先級)來處理它們。
- 1. snort的日誌文件格式
- 2. 查看Oracle日誌文件
- 3. Umbraco查看日誌文件
- 4. 查看Unix日誌文件
- 5. 解釋snort日誌
- 6. SNORT:如何將日誌文件保存爲ASCII格式?
- 7. 如何查看Java日誌?
- 8. 解碼Snort的日誌
- 9. WPF日誌文件查看器組件
- 10. HTML中的日誌文件查看器
- 11. 同步查看多個日誌文件
- 12. 查看輸出日誌文件
- 13. 查看日誌文件的腳本
- 14. 如何以文本人類可讀格式生成snort日誌文件?
- 15. 查看git日誌
- 16. 如何查看三星智能電視日誌查看器中的日誌
- 17. 您如何實時查看日誌文件?
- 18. 如何查看由屏幕生成的日誌文件(screenlog.0)
- 19. 如何在MySQL中查看日誌文件?
- 20. 如何在IntelliJ中查看日誌文件的尾部?
- 21. Linux - 如何從程序腳本查看日誌文件?
- 22. 如何在PowerShell中查看遠程日誌文件的內容?
- 23. 如何複製並粘貼日誌文件查看器
- 24. 如何在Eclipse中查看java日誌文件
- 25. 如何在服務啓動時查看日誌文件?
- 26. 如何配置鏈鋸捆綁以查看log4j日誌文件?
- 27. 如何查看SQL Server 2005事務日誌文件
- 28. 如何查看帶終端的實時日誌文件?
- 29. 如何查看日誌中每次提交的更改文件?
- 30. 如何在本地運行時查看Azure日誌文件?
如果您發佈_how_您正在閱讀它會更有用,因爲這是此處發佈的實際問題 – Purefan 2016-11-01 22:58:17