Мы используем HAProxy в качестве балансировщика нагрузки на уровне 7, чтобы мы могли завершить работу SSL и проверить трафик с помощью Snort. Проблема в том, что Snort видит в качестве источника балансировщик нагрузки, а не исходного клиента. Мы добавили заголовок X-Forward-For, но не можем найти способ заставить snort записывать свои журналы с этим как src.
Мы устанавливаем enable_xff в конфигах snort, но это только помещает IP в единый журнал в разделе Extra Data. Он не включен в стандартный системный журнал.
Единый журнал является двоичным, и инструмент, который нам нужен для чтения журналов snort, не может его обработать.
Есть ли способ заставить snort записывать правильный IP-адрес в журналы?