Atualmente estou usando o snort-2.9.3.1 gerando formato de log unified2 e usando barnyard2-1.9 para processar os alertas e enviá-los para o syslog e um banco de dados. Em alguns casos, tenho várias instâncias do snort em execução no mesmo host e gostaria de registrá-las separadamente.
Existe uma maneira de configurar o barnyard2 de forma que, dependendo do nome do arquivo de entrada, ele execute ações diferentes.
Algo como,
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
Espero evitar a execução de várias instâncias do barnyard2.