He configurado Snort para registrar unified2 en mi archivo snort.conf y estoy usando barnyard2 para analizar los resultados de dos. Funciona, excepto que parece que puedo descifrar la referencia de evento (xref) de los datos. Tengo mi archivo reference.config con las diferentes URL y el archivo sid-msg.map tiene todos los identificadores de firma y las referencias dentro de ellos, pero parece que no pueden asignarlos. Puse la salida a CSV para probar y probé muchas palabras clave diferentes, pero no tuve suerte. ¿Alguna idea?
snort.conf ... salida unificada2: nombre de archivo snort.u2, límite 128 ... barnyard2.conf (He intentado cada palabra que pensé que podría ser la palabra clave de identificación de referencia, pero nada funciona) salida alert_csv: /var/log/snort/csv.out timestamp, msg, srcip, sport, dstip, dport, classname, event_reference, xref, Xref, ref, event_xref, xref_uri