snort.u2ファイルを読む

snort.u2ファイルを読む

私は今Snortを学び、テストし始めました。

snort.u2にsnortデータがあります。タイムスタンプ文書。このファイルを表示または読み取る最良の方法は何ですか? Google検索でいくつかの情報を見つけましたが、snortを使用してトラフィックをキャプチャし、barnyard2を使用して解析してmysqlデータベースにロードする方法について説明します。既存のsnort.u2ファイルの読み方に関する明確な情報が見つかりません。また、barnyard2.waldoファイルとsnort.u2があることにも言及したいと思います。タイムスタンプ文書。このファイルのソースがわからない。

そして、Windowsでsnort.u2ファイルを見ることはできますか?これは便利ですが、可能でない場合は大きな問題ではありません。

答え1

この質問をする最高のスタック交換サイトではありませんが、次のコマンドがsnort提供されます。u2spewfoo

u2spewfoo /path/to/file.unified2

u2boat抽出を参照してくださいpcap

まだ一つあります。Snort統合モジュールperlUnified2ログを使用すると、よりエキゾチックなタスクを実行できます。 u2spewfooをシミュレートする簡単な例:

#!/usr/bin/perl

use SnortUnified(qw(:ALL));
use Socket;
use POSIX;

$| = 1;
$file = shift;

$UF_Data = openSnortUnified($file) or die;

while ($record = readSnortUnifiedRecord()) {

  print(++$i);;

  foreach $field ( @{$record->{'FIELDS'}} ) {
    my $v = $record->{$field};
    if ($field =~ /^.ip$/) {
      $v = inet_ntoa(pack("N", $v));
    } elsif ( $field =~ /_sec$/) {
      $v = strftime("%F_%T", localtime $v);
    } elsif ( $field eq 'pkt' ) {
      $v = unpack("H*", $v);
    }
    print(", $field=" . $v);
  }
  print("\n");
}

closeSnortUnified();

関連情報