Ich verwende derzeit snort-2.9.3.1, das das Unified2-Protokollformat ausgibt, und Barnyard2-1.9, um die Warnungen zu verarbeiten und sie sowohl an Syslog als auch an eine Datenbank zu senden. In einigen Fällen laufen mehrere Instanzen von snort auf demselben Host und ich möchte sie separat protokollieren.
Gibt es eine Möglichkeit, barnyard2 so zu konfigurieren, dass je nach Eingabedateiname unterschiedliche Aktionen ausgeführt werden?
Etwas wie,
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
Ich hoffe, dass ich das Ausführen mehrerer Instanzen von Barnyard2 vermeiden kann.