我目前使用 snort-2.9.3.1 输出 unified2 日志格式,并使用 barnyard2-1.9 处理警报并将其发送到 syslog 和数据库。在某些情况下,我在同一台主机上运行多个 snort 实例,并希望分别记录它们。
有没有办法配置 barnyard2,以便根据输入文件名采取不同的操作。
就像是,
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
我希望避免运行多个 barnyard2 实例。