私は今Snortを学び、テストし始めました。
snort.u2にsnortデータがあります。タイムスタンプ文書。このファイルを表示または読み取る最良の方法は何ですか? Google検索でいくつかの情報を見つけましたが、snortを使用してトラフィックをキャプチャし、barnyard2を使用して解析してmysqlデータベースにロードする方法について説明します。既存のsnort.u2ファイルの読み方に関する明確な情報が見つかりません。また、barnyard2.waldoファイルとsnort.u2があることにも言及したいと思います。タイムスタンプ文書。このファイルのソースがわからない。
そして、Windowsでsnort.u2ファイルを見ることはできますか?これは便利ですが、可能でない場合は大きな問題ではありません。
答え1
この質問をする最高のスタック交換サイトではありませんが、次のコマンドがsnort
提供されます。u2spewfoo
u2spewfoo /path/to/file.unified2
u2boat
抽出を参照してくださいpcap
。
まだ一つあります。Snort統合モジュールperl
Unified2ログを使用すると、よりエキゾチックなタスクを実行できます。 u2spewfooをシミュレートする簡単な例:
#!/usr/bin/perl
use SnortUnified(qw(:ALL));
use Socket;
use POSIX;
$| = 1;
$file = shift;
$UF_Data = openSnortUnified($file) or die;
while ($record = readSnortUnifiedRecord()) {
print(++$i);;
foreach $field ( @{$record->{'FIELDS'}} ) {
my $v = $record->{$field};
if ($field =~ /^.ip$/) {
$v = inet_ntoa(pack("N", $v));
} elsif ( $field =~ /_sec$/) {
$v = strftime("%F_%T", localtime $v);
} elsif ( $field eq 'pkt' ) {
$v = unpack("H*", $v);
}
print(", $field=" . $v);
}
print("\n");
}
closeSnortUnified();