Анализ файла Snort PCAP не записывает в файл предупреждений

Я использую snort в своей виртуальной машине ubuntu 14.04. Вот как я установил фырканье. 

sudo apt-get update sudo apt-get install snort

Я не /etc/snort/snort.conf файл /etc/snort/snort.conf или файл правил. Они остаются как по умолчанию, и я читал PCAP, используя следующую команду. 

 sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap

Файл PCAP успешно читается и создается файл snort.log, но размер этого файла равен 0 байтам. Когда я установил snort, в каталоге / var / log / snort не было файла предупреждений. Поэтому я создал один и дал владельцу разрешение на фырканье следующим образом. 

 sudo chown snort.snort alert

После чтения PCAP оба snort.log и alert не имеют содержимого (хотя дата изменения snort.log изменяется на последнюю дату и время чтения). Их размеры равны 0 байтам. Что я здесь делаю неправильно? Нужно ли мне делать некоторые дополнительные изменения для файлов rules / snort.conf?

  • Как установить 64-битное snort на 64-битный openSUSE 13.1?
  • Make: рецепт для целевого 'pcap-bt-monitor-linux.o' не выполнен
  • Barnyard 2 не работает на OpenBSD
  • Как создать сетевой трафик и сохранить его в pcap-файлы?
  • Прочтите файлы snort.u2
  • Получено сообщение «ОШИБКА: не удается декодировать канал связи типа 239» при включении режима сниффера
  • Ограничение одновременных подключений от конкретного хоста к конкретному хосту на конкретном порту?
  • Блокирование HTTP-содержимого gzip с помощью Iptables или Snort?

    • One Solution collect form web for “Анализ файла Snort PCAP не записывает в файл предупреждений”

    Похоже, что snort не записывает журнал предупреждений при обработке файла pcap, однако он должен написать правильный журнал захвата пакетов (например, /var/log/snort/snort.log.1502097194 ).

    Так как он не записывает журнал предупреждений, вы можете получить вместо него snort для записи сообщений журнала предупреждений в syslog с использованием флага -s (или журнала событий в Windows с использованием -E ), например: 

     snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf

    Затем вы должны увидеть предупреждения в syslog, например: 

     $ sudo tail -f /var/log/messages Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21

    В вашем случае, скорее всего, snort.log содержит данных, поскольку никаких предупреждений не было. Вы должны подтвердить это, либо просмотрев syslog, либо в сводном отчете, например: 

     Action Stats: Alerts: 1 ( 5.263%) Logged: 1 ( 5.263%) Passed: 0 ( 0.000%)
    Interesting Posts

    Как создать файл с именем, указанным в кодировке ASCII?

    Отключение графического входа в Debian wheezy

    Как передать файлы, загруженные с помощью wget через tar?

    Требуется новый «X» рабочий стол для VNC?

    Автоматизация USB-накопителей на Debian

    Сеть Linux перестает функционировать после случайного времени (проводной)

    Fatal IO ошибка 35 – проблема X

    Какова правильная компоновка символических ссылок, позволяющих совместно использовать совместно используемые библиотеки openssl 1.1.0 и 1.0.2?

    Vim printoptions не будет принимать два варианта одновременно

    Каков рекомендуемый способ копирования изменений с помощью vimdiff?

    Не удается создать samba 4 share, который принимает учетные данные домена

    Поиск процесса, который привел к Kernel Panic

    Какова релевантность «en_AU» в «LC_CTYPE»? и что такое `locale LC_CTYPE` вывод?

    измеритель скорости трубы с машиносчитываемым выходом

    Как передать флаги в IBM xlc-компилятор?
    Linux и Unix - лучшая ОС в мире.