Ich versuche, snort Warnungen zu parsen und notwendige Informationen wie VLAN ID zu filtern, wo ein böswilliger interner Computer gehört! Allerdings kann ich nur die Nachricht, Quell-und Ziel-IPs, ich brauche auch die VLAN-ID zu bekommen.Wie bekomme ich die VLAN ID in snort alert?
Dank
(Angenommen, Sie Unified2 Protokollformat verwenden)
Sie können die VLAN-ID geloggt mithilfe des vlan_event_types Parameter bei der Angabe der Alarmkonfiguration:
output alert_unified2: \
filename <base filename> [, <limit <size in MB>] [, nostamp] [, mpls_event_types] \
[, vlan_event_types]
Wenn aktiviert und das Paket einen VLAN-Header enthält, enthält ein Protokollelement den folgenden Datensatz mit vlan id:
E. Unified2 IDS Ereignis (Version 2)
sensor id 4 bytes event id 4 bytes event second 4 bytes event microsecond 4 bytes signature id 4 bytes generator id 4 bytes signature revision 4 bytes classification id 4 bytes priority id 4 bytes ip source 4 bytes ip destination 4 bytes source port/icmp type 2 bytes dest. port/icmp code 2 bytes protocol 1 byte impact flag 1 byte impact 1 byte blocked 1 byte mpls label 4 bytes vlan id 2 bytes padding 2 bytesUnified2 IDS Ereignis (Version 2) für IPv4-Pakete, die protokolliert entweder MPLS oder VLAN-Header enthalten. Andernfalls wird ein Unified2 IDS-Ereignis protokolliert.
Beachten Sie, dass Sie benötigen, um --enable-mpls passieren, um haben Snort füllen Sie das MPLS-Label-Feld zu konfigurieren.
Beachten Sie, dass Sie die Unified2-Protokollierung entweder mit mpls_event_types oder vlan_event_types konfigurieren müssen, um diesen Datensatztyp zu erhalten.