저는 이제 막 Snort를 배우고 테스트하기 시작했습니다.
snort.u2에 snort 데이터가 있습니다.타임스탬프문서. 이 파일을 보거나 읽는 가장 좋은 방법은 무엇입니까? Google 검색을 통해 일부 정보를 찾았지만 snort를 사용하여 트래픽을 캡처하고 barnyard2를 사용하여 구문 분석한 다음 mysql 데이터베이스에 로드하는 방법에 대해 설명합니다. 기존 snort.u2 파일을 읽는 방법에 대한 명확한 정보를 찾을 수 없습니다. 또한 barnyard2.waldo 파일과 snort.u2가 있다는 점을 언급하고 싶습니다.타임스탬프문서. 이 파일의 출처가 확실하지 않습니다.
그리고, Windows에서 snort.u2 파일을 볼 수 있나요? 이렇게 하면 편리하겠지만 가능하지 않다면 큰 문제는 아닙니다.
답변1
이 질문을 하는 최고의 스택 교환 사이트는 아니지만 다음 명령이 snort제공됩니다 .u2spewfoo
u2spewfoo /path/to/file.unified2
u2boat추출 을 참조하십시오 pcap.
아직 하나 있어요Snort 통합 모듈perlUnified2 로그를 사용하면 더 이국적인 작업을 수행할 수 있습니다 . u2spewfoo를 시뮬레이션하는 간단한 예:
#!/usr/bin/perl
use SnortUnified(qw(:ALL));
use Socket;
use POSIX;
$| = 1;
$file = shift;
$UF_Data = openSnortUnified($file) or die;
while ($record = readSnortUnifiedRecord()) {
print(++$i);;
foreach $field ( @{$record->{'FIELDS'}} ) {
my $v = $record->{$field};
if ($field =~ /^.ip$/) {
$v = inet_ntoa(pack("N", $v));
} elsif ( $field =~ /_sec$/) {
$v = strftime("%F_%T", localtime $v);
} elsif ( $field eq 'pkt' ) {
$v = unpack("H*", $v);
}
print(", $field=" . $v);
}
print("\n");
}
closeSnortUnified();