Назад | Перейти на главную страницу

Может ли Snort писать журналы с заголовками X-Forward-For или X-Real-IP вместо источника?

Мы используем HAProxy в качестве балансировщика нагрузки на уровне 7, чтобы мы могли завершить работу SSL и проверить трафик с помощью Snort. Проблема в том, что Snort видит в качестве источника балансировщик нагрузки, а не исходного клиента. Мы добавили заголовок X-Forward-For, но не можем найти способ заставить snort записывать свои журналы с этим как src.

Мы устанавливаем enable_xff в конфигах snort, но это только помещает IP в единый журнал в разделе Extra Data. Он не включен в стандартный системный журнал.

Единый журнал является двоичным, и инструмент, который нам нужен для чтения журналов snort, не может его обработать.

Есть ли способ заставить snort записывать правильный IP-адрес в журналы?