Snort / Barnyard2 Logging

Eu preciso de ajuda com minha configuração do Snort / Barnyard2. Meu objetivo é fazer com que o Snort envie logs do unified2 para o Barnyard2 e mande o Barnyard2 enviar os dados para outros locais. Aqui está a minha configuração atual.

SO

• Scientific Linux 6

Versão do Snort

• 2.9.2.3

Versão do Barnyard2

• 2.1.9

Comando do Snort

snort -c /etc/snort/snort.conf -i eth2 &

Comando Barnyard2

/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo &

snort.conf

output unified2: filename snort.log, limit 128

barnyard2.conf

output alert_syslog: host=127.0.0.1
output database: log, mysql, user=snort dbname=snort password=password host=localhost

Com esta configuração, o barnyard2 está mostrando todas as informações corretas no banco de dados e estou usando o BASE para visualizá-lo na GUI da web. Eu esperava poder enviar os dados completos do pacote para o syslog com o curral2, mas depois de ler por volta , parece que é impossível fazer isso. Então eu comecei a tentar modificar o arquivo snort.conf e adicionar linhas como "output alert_full: alert.full". Isso definitivamente me deu muito mais informações, mas ainda não os dados completos do pacote, como eu quero.

Então, minha pergunta é: existe alguma maneira que eu possa usar o barnyard2 para enviar os dados completos dos pacotes de alertas para um arquivo legível? Como não posso enviá-lo diretamente para o syslog, posso criar outro processo para retirar os dados desse arquivo e enviá-lo para outro servidor. Se não, quais flags e / ou configurações do snort.conf você recomendaria para obter o máximo de dados possível, mas ainda assim ser capaz de lidar com um pouco de tráfego? No final de tudo, esses alertas serão enviados para um servidor central através de um túnel SSH. Eu estou tentando ficar longe de bancos de dados.