O aplicativo Snort tem um subsistema de registro bastante robusto. Ao ativar o formato unified
log, você deve e está vendo dois tipos de logs:
- arquivo de alerta - contém informações de alto nível sobre o evento
- arquivo de log - contém informações muito mais detalhadas, incluindo um despejo de pacotes
Ambos os arquivos são gravados no disco em formato binário. Embora isso dificulte a análise do analista, é significativamente mais rápido para o aplicativo. Para um pouco mais, embora não muito, informações do Snort Docs para o plugin de saída unificado seriam uma leitura válida.
Se você quiser uma versão de texto bruto dos alertas acionados, eu recomendaria o tipo de saída syslog . Este é um dos mais flexíveis, pois permite que você gerencie seu registro no host em vez do aplicativo. Além disso, como você tem a opção de linha de comando -d
invertida, uma captura de cada pacote que aciona um alerta será salva no formato pcap. Isso ainda lhe dá boas informações para usar em análises falsas positivas.