Atualmente, estou usando o snort-2.9.3.1 gerando o formato de log unified2 e usando o barnyard2-1.9 para processar os alertas e enviá-los para o syslog e um banco de dados. Em alguns casos, tenho várias instâncias do snort em execução no mesmo host e gostaria de registrá-las separadamente.
Existe uma maneira de configurar o barnyard2 de tal forma que, dependendo do nome do arquivo de entrada, ele tomará ações diferentes.
Algo como
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
Espero evitar a execução de várias instâncias de barnyard2.
Tags monitoring snort barnyard2