我有一个带有 snort 设置的新实例。
当我试图查看警报日志时,我注意到该目录没有/var/log/snort/alert 文件。
我试图触摸这个文件和 chmod 来为我的 snort 用户提供读写访问权限,但我仍然没有警报(即使我创建了一个规则来捕获所有调用并将它们作为错误放入日志中)

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

知道我是否遗漏了什么。

顺便说一下,这是我为 Snort 运行的命令:
sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

我错过了什么吗?

最佳答案

您不需要创建任何文件。当某些内容与您的规则匹配时,snort 将创建它并生成警报。为此,以完全警报模式启动您的 snort 以通过类似这样的方式记录所有警报

‫‪snort‬‬ ‫‪-dev‬‬ ‫‪-i‬‬ ‫‪wlan0‬‬ ‫‪-c‬‬ ‫‪/etc/snort/snort.conf‬‬ ‫‪-l‬‬ ‫‪/var/log/snort/‬‬ ‫‪-A‬‬ ‫‪full‬‬

然后,如果您有 Linux,您可以转到路径 ‫‪‬‬ ‫‪cd /var/log/snort/‬‬ 并通过以下命令查看您的日志:cat alert | grep -i‬‬ ‬‬‫‪‫‪detected

关于logging - 从 snort 读取警报日志,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/26246678/

10-14 06:26