現在、snort-2.9.3.1 を使用して unified2 ログ形式を出力し、barnyard2-1.9 を使用してアラートを処理し、それらを syslog とデータベースの両方に送信しています。場合によっては、同じホストで複数の snort インスタンスが実行されており、それらを個別にログに記録したいことがあります。
入力ファイル名に応じて異なるアクションを実行するように barnyard2 を構成する方法はありますか。
何かのようなもの、
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
barnyard2 の複数のインスタンスの実行を避けたいと思っています。