为snort写了个日志输出插件。

    一直是用snort作为ids的，也一直用它的一个日志输出插件作为日志的记录器。然后再加上一个日志分析程序把该种日志记录到数据库对snort的日志进一步分析。在一次数据量比较大的测试条件下突然发掘该日志输出插件有问题，而从代码来看没有实现上的问题，只可能有机制的问题，郁闷了一下。
没有办法花了一天半的时间为snort写了个日志的输出插件，同时也包含了我们自己为snort写的日志再处理的一部分功能。比较高兴。
    其实以前就花过一段时间对snort的源代码进行分析过，我的插件之所以这么迅速的写出来这事和以前分析过snort的源代码是有很大关系的。同时也很久没有写和网络相关的程序了，在写sock接口的地址处理时还被同事鄙视了一下。郁闷。看来弄kernel代码的时间太多也不是好事请。