Estoy ejecutando Snort versión 2.9.6.0 y no puedo registrar eventos del preprocesador sfportscan utilizando el formato de archivo dosificado.
Este es el conf (en realidad es el predeterminado):
preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { medium }
Si agrego logfile { /var/log/snort/portscan.log } , los eventos se registran correctamente en el archivo.
Mi objetivo final es mostrar los eventos sfportscan en Snorby usando barnyard2.