Parece que o /etc/snort/community-sid-msg.map é utilizável, mas somente após a remoção dos comentários contidos, por exemplo:
cd ~
sudo grep -v -P "^#" /etc/snort/community-sid-msg.map > community-sid-msg-no-comments.map
# dir required by barnyard2 at runtime
sudo mkdir /var/log/barnyard2
# comment the line "config sid_file: /etc/snort/sid-msg.map" in your barnyard2/etc/barnyard2.conf
sudo ~/apps/opt/barnyard2/bin/barnyard2 -c ~/apps/opt/barnyard2/etc/barnyard2.conf -S community-sid-msg-no-comments.map -o -q /var/log/snort/snort.log
Apesar de trabalhar, a saída não está completa. Esta linha é um exemplo de saída:
04/05-23:18:39.268639 [**] [1:485:4] Snort Alert [1:485:4] [**] [Classification: Misc activity] [Priority: 3] {ICMP} 46.223.181.179 -> 188.26.13.70
enquanto um equivalente melhor seria:
04/05-23:18:39.268639 [**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**] [Classification: Misc activity] [Priority: 3] {ICMP} 46.223.181.179 -> 188.26.13.70
A segunda linha (melhor) foi gerada usando um arquivo sid gerado com:
python ~/compile/py-idstools/idstools/scripts/gensidmsgmap.py /etc/snort/rules/ > sid-msg-v1.map
Pegue o gensidmsgmap.py do link .