Actualmente estoy usando snort-2.9.3.1 generando el formato de registro unificado2 y usando barnyard2-1.9 para procesar las alertas y enviarlas tanto a syslog como a una base de datos. En algunos casos, tengo varias instancias de snort ejecutándose en el mismo host y me gustaría registrarlas por separado.
¿Hay alguna manera de configurar barnyard2 de modo que, según el nombre del archivo de entrada, realice diferentes acciones?
Algo como,
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
Espero evitar ejecutar varias instancias de barnyard2.