В настоящее время я использую snort-2.9.3.1, выводящий формат журнала unified2 и использую barnyard2-1.9 для обработки предупреждений и отправки их как в системный журнал, так и в базу данных. В некоторых случаях у меня есть несколько экземпляров snort, запущенных на одном хосте, и я хочу регистрировать их отдельно.
Есть ли способ настроить barnyard2 таким образом, чтобы в зависимости от имени входного файла он выполнял разные действия.
Что-то вроде,
[snortmain_unified.log]
output alert_syslog: LOG_AUTH LOG_ALERT
[snortsecondary_unified.log
output alert_syslog: LOG_LOCAL1 LOG_ERR
Я надеюсь избежать запуска нескольких экземпляров barnyard2.