Re: [ml] snort packet logger e file di log

> Ho bisogno di loggare tutto il traffico visto dall'interfaccia eth1 del mio
> sistema. Per far ciò ho utilizzato snort in modalità packet logger. Ho
> bisogno però che i files di log siano nel formato snort.log.xxxxxxxx. Ho
> utilizzato per questo il comando:
> 
> #snort -b -l /usr/snort/log -i eth1 -h 192.168.182.0/24
>
> Qualcuno sa dirmi perchè il formato dei files di log (lanciano sempre il
> comando che ho scritto) varia dall'unico file snort.log al formato con gli
> ip degli hosts?

La linea di comando che riporti (AFAIK) deve loggare sempre nello stesso modo
(binario pcap) indipendentemente dalla versione di snort che stai usando (che
e' il primo elemento discriminante che mi viene in mente, in caso di problemi
con il formato di log). Proverei a verificare, magari cercando nella history,
che non sia stato (talvolta) invocato anche con "-K ascii" (snort >= 2.4.1) o
(sempre talvolta) senza il -b (snort < 2.4.1), il che potrebbe spiegare i log
anomali eventualmente presenti nella directory dei log. Sempre che sia questo
il sintomo che rilevi, ovviamente, perche' se invece intendi dire che noti un
diverso comportamento tra piu' esecuzioni consecutive di quel comando, allora
trattasi di... sortilegio.

Note a margine:
- lo switch -h non ha nessun effetto quando registri in formato binario.
- lo switch -b non ha nessun effetto quando usi -l con snort >= 2.4.1


Fabio