我目前正在使用 snort-2.9.3.1 輸出統一2日誌格式,並使用 barnyard2-1.9 處理警報並將其發送到系統日誌和資料庫。在某些情況下,我在同一台主機上執行多個 snort 實例,並且希望單獨記錄它們。
有沒有辦法設定 barnyard2,以便根據輸入檔名採取不同的操作。
就像是,
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
我希望避免執行 barnyard2 的多個執行個體。