Leia arquivos snort.u2

Question

Leia arquivos snort.u2

#1 resposta do (1 votos)

1

Estou apenas começando a aprender e testar o snort.

Eu tenho alguns dados do snort em arquivos snort.u2. timestamp . Qual é a melhor maneira de visualizar / ler esses arquivos? Eu encontrei algumas informações através da pesquisa do Google, mas discute como capturar o tráfego usando snort, analisá-lo usando barnyard2 e, em seguida, carregá-lo em um banco de dados mysql. Não consigo encontrar nada claro sobre como ler arquivos snort.u2 existentes. Além disso, devo mencionar que tenho um arquivo barnyard2.waldo junto com os arquivos snort.u2. timestamp . Não tem certeza de onde esse arquivo entra.

Além disso, é possível visualizar arquivos snort.u2 no Windows? Seria conveniente, mas não é grande coisa, se não for possível.

snort linux

por user695752 15.03.2013 / 19:10

1 resposta

Tags snort linux

Onde começar a criar o perfil do kernel do Linux? imagemagick display: texto diferente na visualização da fonte

score 1 · Answer 1

Não é realmente o melhor site do stackexchange para fazer essa pergunta, mas snort vem com o comando u2spewfoo para isso:

u2spewfoo /path/to/file.unified2

Veja também o comando u2boat para extrair o pcap .

Há também um módulo SnortUnified para perl , que pode permitir que você faça coisas mais sofisticadas com o log unificado2. Um exemplo rápido para emular o u2spewfoo:

#!/usr/bin/perl

use SnortUnified(qw(:ALL));
use Socket;
use POSIX;

$| = 1;
$file = shift;

$UF_Data = openSnortUnified($file) or die;

while ($record = readSnortUnifiedRecord()) {

  print(++$i);;

  foreach $field ( @{$record->{'FIELDS'}} ) {
    my $v = $record->{$field};
    if ($field =~ /^.ip$/) {
      $v = inet_ntoa(pack("N", $v));
    } elsif ( $field =~ /_sec$/) {
      $v = strftime("%F_%T", localtime $v);
    } elsif ( $field eq 'pkt' ) {
      $v = unpack("H*", $v);
    }
    print(", $field=" . $v);
  }
  print("\n");
}

closeSnortUnified();