В настоящее время я использую snort-2.9.3.1, выводящий формат журнала unified2, и использую barnyard2-1.9 для обработки оповещений и отправки их как в syslog, так и в базу данных. В некоторых случаях у меня есть несколько экземпляров snort, запущенных на одном хосте, и я хотел бы регистрировать их отдельно.
Есть ли способ настроить barnyard2 таким образом, чтобы в зависимости от имени входного файла он выполнял разные действия?
Что-то вроде,
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
Я надеюсь избежать запуска нескольких экземпляров barnyard2.