Назад | Перейти на главную страницу

Последствия unified2 logging с несколькими экземплярами snort

Я начинаю переносить журнал snort с alert_syslog к unified2 используя barnyard2 в качестве процессора. В некоторых случаях у меня есть несколько экземпляров snort, работающих в одной системе. Поскольку я исторически использовал syslog, он без проблем обрабатывал ввод нескольких журналов, однако с переключением на unified2 меня беспокоят конфликты записи.

В настоящее время я использую тот же snort.conf для каждого экземпляра и управление отдельными экземплярами в /etc/sysconfig/snort. В первую очередь для простоты конфигурации и частично для времени разработки с моей стороны, я хотел бы иметь возможность поддерживать такой же snort.conf. Что, конечно, означает, что все экземпляры будут записывать в один и тот же унифицированный файл журнала.

Меня беспокоят конфликты записи, поскольку несколько процессов пытаются записать в один и тот же файл. Это известный безопасный подход с snort? Являются ли методы записи, используемые процессором вывода unified2, потокобезопасными? Может ли кто-нибудь прокомментировать вероятность полного протонного обращения таким образом?