Я начинаю переносить журнал snort с alert_syslog
к unified2
используя barnyard2 в качестве процессора. В некоторых случаях у меня есть несколько экземпляров snort, работающих в одной системе. Поскольку я исторически использовал syslog, он без проблем обрабатывал ввод нескольких журналов, однако с переключением на unified2 меня беспокоят конфликты записи.
В настоящее время я использую тот же snort.conf
для каждого экземпляра и управление отдельными экземплярами в /etc/sysconfig/snort
. В первую очередь для простоты конфигурации и частично для времени разработки с моей стороны, я хотел бы иметь возможность поддерживать такой же snort.conf
. Что, конечно, означает, что все экземпляры будут записывать в один и тот же унифицированный файл журнала.
Меня беспокоят конфликты записи, поскольку несколько процессов пытаются записать в один и тот же файл. Это известный безопасный подход с snort? Являются ли методы записи, используемые процессором вывода unified2, потокобезопасными? Может ли кто-нибудь прокомментировать вероятность полного протонного обращения таким образом?