Анализ файла Snort PCAP не записывает в файл предупреждений

Я использую snort в своей виртуальной машине ubuntu 14.04. Вот как я установил фырканье. 

sudo apt-get update sudo apt-get install snort

Я не /etc/snort/snort.conf файл /etc/snort/snort.conf или файл правил. Они остаются как по умолчанию, и я читал PCAP, используя следующую команду. 

 sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap

Файл PCAP успешно читается и создается файл snort.log, но размер этого файла равен 0 байтам. Когда я установил snort, в каталоге / var / log / snort не было файла предупреждений. Поэтому я создал один и дал владельцу разрешение на фырканье следующим образом. 

 sudo chown snort.snort alert

После чтения PCAP оба snort.log и alert не имеют содержимого (хотя дата изменения snort.log изменяется на последнюю дату и время чтения). Их размеры равны 0 байтам. Что я здесь делаю неправильно? Нужно ли мне делать некоторые дополнительные изменения для файлов rules / snort.conf?

  • Как установить 64-битное snort на 64-битный openSUSE 13.1?
  • Не удается установить Snort 2.9.6.1 из-за «Не совместимой архитектуры»,
  • Блокирование HTTP-содержимого gzip с помощью Iptables или Snort?
  • Make: рецепт для целевого 'pcap-bt-monitor-linux.o' не выполнен
  • Как создать сетевой трафик и сохранить его в pcap-файлы?
  • Ограничение одновременных подключений от конкретного хоста к конкретному хосту на конкретном порту?
  • libdnet установлен, но не может быть найден snort
  • Прочтите файлы snort.u2

    • One Solution collect form web for “Анализ файла Snort PCAP не записывает в файл предупреждений”

    Похоже, что snort не записывает журнал предупреждений при обработке файла pcap, однако он должен написать правильный журнал захвата пакетов (например, /var/log/snort/snort.log.1502097194 ).

    Так как он не записывает журнал предупреждений, вы можете получить вместо него snort для записи сообщений журнала предупреждений в syslog с использованием флага -s (или журнала событий в Windows с использованием -E ), например: 

     snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf

    Затем вы должны увидеть предупреждения в syslog, например: 

     $ sudo tail -f /var/log/messages Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21

    В вашем случае, скорее всего, snort.log содержит данных, поскольку никаких предупреждений не было. Вы должны подтвердить это, либо просмотрев syslog, либо в сводном отчете, например: 

     Action Stats: Alerts: 1 ( 5.263%) Logged: 1 ( 5.263%) Passed: 0 ( 0.000%)
    Interesting Posts

    Linux Distro / Project для цифровой грамотности

    Выберите имя файла Unicode в Bash

    Ubuntu автоматически подключается к беспроводной сети, когда она уже подключена eth0 к той же сети

    ncftp не смотрит в .netrc

    Точная метка времени в Bash с printf (не тривиальная проблема)

    Что делает операционная система «Unix-Like»?

    Портирование Linux на плате LPC2148

    file command + как просмотреть все результаты из команды file

    Символы внутри установленных cifs отображаются как каталоги

    Не удается завершить обновление php5-cli

    ввод сканера штрих-кода при запуске xorg и evdev

    Строка команды после команды, которая заканчивается на & – EX: nohup> log & && rm log

    Как установить параметры рабочего стола по умолчанию для новых пользователей?

    Как синхронизировать несколько устройств Palm PDA?

    Обновлять обновления apt-get каждый раз
    Linux и Unix - лучшая ОС в мире.