Estou começando a migrar meu log snort de alert_syslog para unified2 usando o barnyard2 como processador. Em alguns casos, tenho várias instâncias do snort em execução no mesmo sistema. Desde que eu usei historicamente o syslog, ele manipulou a entrada de log múltiplos sem problemas, no entanto, com a opção para unified2, estou preocupado com colisões de gravação.
Atualmente, estou usando o mesmo snort.conf para cada instância e gerenciando as instâncias separadas em /etc/sysconfig/snort . Primeiramente por simplicidade de configuração, e parcialmente por tempo de desenvolvimento de minha parte, eu gostaria de poder manter o mesmo snort.conf . O que, obviamente, significa ter todas as instâncias gravadas no mesmo arquivo de log unificado.
Estou preocupado com colisões de gravação, pois vários processos tentam gravar no mesmo arquivo. Esta é uma abordagem segura conhecida com snort? Os métodos de gravação usados pelo thread do processador de saída unified2 são seguros? Alguém pode comentar sobre a probabilidade de reversão protônica total ao fazer isso?