Анализ файла Snort PCAP не записывает в файл предупреждений

Я использую snort в своей виртуальной машине ubuntu 14.04. Вот как я установил фырканье. 

sudo apt-get update sudo apt-get install snort

Я не /etc/snort/snort.conf файл /etc/snort/snort.conf или файл правил. Они остаются как по умолчанию, и я читал PCAP, используя следующую команду.

  • Почему файл вывода tcpdump пуст?
  • install failing для libpcap: рецепт для целевого pcap-linux.o не удалось
  • «Tail -f», используя «tcpdump -r»
  • Повтор pcap только на локальной машине
  • Make: рецепт для целевого 'pcap-bt-monitor-linux.o' не выполнен
  • Получено сообщение «ОШИБКА: не удается декодировать канал связи типа 239» при включении режима сниффера
    •  sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap

    Файл PCAP успешно читается и создается файл snort.log, но размер этого файла равен 0 байтам. Когда я установил snort, в каталоге / var / log / snort не было файла предупреждений. Поэтому я создал один и дал владельцу разрешение на фырканье следующим образом. 

     sudo chown snort.snort alert

    После чтения PCAP оба snort.log и alert не имеют содержимого (хотя дата изменения snort.log изменяется на последнюю дату и время чтения). Их размеры равны 0 байтам. Что я здесь делаю неправильно? Нужно ли мне делать некоторые дополнительные изменения для файлов rules / snort.conf?

  • Получено сообщение «ОШИБКА: не удается декодировать канал связи типа 239» при включении режима сниффера
  • Make: рецепт для целевого 'pcap-bt-monitor-linux.o' не выполнен
  • Почему файл вывода tcpdump пуст?
  • Повтор pcap только на локальной машине
  • «Tail -f», используя «tcpdump -r»
  • install failing для libpcap: рецепт для целевого pcap-linux.o не удалось

    • One Solution collect form web for “Анализ файла Snort PCAP не записывает в файл предупреждений”

    Похоже, что snort не записывает журнал предупреждений при обработке файла pcap, однако он должен написать правильный журнал захвата пакетов (например, /var/log/snort/snort.log.1502097194 ).

    Так как он не записывает журнал предупреждений, вы можете получить вместо него snort для записи сообщений журнала предупреждений в syslog с использованием флага -s (или журнала событий в Windows с использованием -E ), например: 

     snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf

    Затем вы должны увидеть предупреждения в syslog, например: 

     $ sudo tail -f /var/log/messages Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21

    В вашем случае, скорее всего, snort.log содержит данных, поскольку никаких предупреждений не было. Вы должны подтвердить это, либо просмотрев syslog, либо в сводном отчете, например: 

     Action Stats: Alerts: 1 ( 5.263%) Logged: 1 ( 5.263%) Passed: 0 ( 0.000%)
    Interesting Posts

    Беспроводная связь с CentOS

    Как установить libXcursor.so.1 на Debian?

    Почему трафик соответствует общественной зоне вместо нужной зоны?

    Шифрование или кодирование имени файла по данным с gpg

    Как запустить x экземпляров сценария параллельно?

    Почему команда `users` возвращает разных пользователей в зависимости от того, ssh я или открываю новый терминал?

    Имя пользователя отображается как «bash-3.0» в оболочке SSH

    Как получить первый ответ PID приложения в команде pstree?

    Создание загрузочного GPT-раздела EFI с помощью gdisk на предыдущем MBR, поврежденный GPT

    /etc/udev/rules.d/ vs /lib/udev/rules.d/ – что использовать и почему?
    Linux и Unix - лучшая ОС в мире.