我开始将我的 snort 日志从 barnyard2 迁移alert_syslog到unified2使用 barnyard2 作为处理器。在某些情况下,我会在同一系统上运行多个 snort 实例。由于我以前使用过 syslog,因此它可以毫无问题地处理多个日志输入,但是切换到 unified2 后,我担心写入冲突。
目前,我对每个实例使用相同的snort.conf,并在 中管理单独的实例/etc/sysconfig/snort。主要是为了简化配置,部分是为了节省我的开发时间,我希望能够维护相同的snort.conf。当然,这意味着让所有实例写入同一个统一的日志文件。
我担心写入冲突,因为多个进程尝试写入同一个文件。这是已知的使用 snort 的安全方法吗?unified2 输出处理器线程使用的写入方法是否安全?有人能评论一下这样做是否会导致质子完全逆转的可能性吗?