hmmm
blöde frage, wie konfiguriere ich snort, dass ich lesbare log files bekomme, b.z.w. wie lese ich die binary logfiles die snort erstellt.

derzeit steht in der snort.conf:
output log_unified: filename snort.log, limit 128

also ich logge das ganze auf dem syslog-ng
mit folgender config:

output alert_syslog: LOG_DAEMON LOG_ALERT LOG_PID

hallo

zitat:
output alert_syslog


um den alert_syslog geht es mir ja nicht, sondern um das snort logfile output log_unified

bei mir werden binary-files erstellt, die in /var/log/snort als snort.log.datum stehen. diese files sind binary (lassen sich also nicht mit less oder cat ansehen).

wenn es ein script gibt, mit dem ich die files lesen kann, auch gut. ansonsten wäre mir klartext lieber :D

Versuche es mal mit tcpdump -r.
Du kannst dir die Sache auch mit Ethereal anschauen.

Viel Spass

danke für die antwort, aber:

tcpdump -r snort.log.1136910992 ergibt
tcpdump: bad dump file format

ethereal kommt mit dem format leider auch nicht klar und öffnet die datei nicht.
ich möchte das ganze sowieso über ssh per konsole auslesen. ich finde nur keine einstellung, das log file in simplem text zu schreiben.

hi,
in meiner snort.conf steht folgendes:

# log_tcpdump: log packets in binary tcpdump format
# -------------------------------------------------
# The only argument is the output file name.
#
output log_tcpdump: tcpdump.log

damit funktioniert es be mir.

Gruss u. viel Spass am Gerät ;)

perfekt, danke !