我刚刚开始学习和测试 Snort。
我在 snort.u2 中有一些 snort 数据。时间戳文件。查看/阅读这些文件的最佳方式是什么?我通过 Google 搜索找到了一些信息,但它讨论了如何使用 snort 捕获流量,使用 barnyard2 解析它,然后将其加载到 mysql 数据库中。我找不到任何关于如何读取现有 snort.u2 文件的明确信息。另外,我应该提到我有一个 barnyard2.waldo 文件和 snort.u2。时间戳文件。不确定这个文件来自哪里。
另外,是否可以在 Windows 上查看 snort.u2 文件?这会很方便,但如果不可能的话也没什么大不了的。
答案1
并不是问这个问题的最佳 stackexchange 站点,但snort附带了u2spewfoo以下命令:
u2spewfoo /path/to/file.unified2
另请参阅u2boat提取pcap.
还有一个Snort统一模块它perl可以让您使用 Unified2 日志做更奇特的事情。模拟 u2spewfoo 的简单示例:
#!/usr/bin/perl
use SnortUnified(qw(:ALL));
use Socket;
use POSIX;
$| = 1;
$file = shift;
$UF_Data = openSnortUnified($file) or die;
while ($record = readSnortUnifiedRecord()) {
print(++$i);;
foreach $field ( @{$record->{'FIELDS'}} ) {
my $v = $record->{$field};
if ($field =~ /^.ip$/) {
$v = inet_ntoa(pack("N", $v));
} elsif ( $field =~ /_sec$/) {
$v = strftime("%F_%T", localtime $v);
} elsif ( $field eq 'pkt' ) {
$v = unpack("H*", $v);
}
print(", $field=" . $v);
}
print("\n");
}
closeSnortUnified();