Анализ файла Snort PCAP не записывает в файл предупреждений
Я использую snort в своей виртуальной машине ubuntu 14.04. Вот как я установил фырканье.
sudo apt-get update sudo apt-get install snort
Я не /etc/snort/snort.conf
файл /etc/snort/snort.conf
или файл правил. Они остаются как по умолчанию, и я читал PCAP, используя следующую команду.
- libdnet установлен, но не может быть найден snort
- Как установить 64-битное snort на 64-битный openSUSE 13.1?
- Ограничение одновременных подключений от конкретного хоста к конкретному хосту на конкретном порту?
- Блокирование HTTP-содержимого gzip с помощью Iptables или Snort?
- Как создать сетевой трафик и сохранить его в pcap-файлы?
sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap
Файл PCAP успешно читается и создается файл snort.log, но размер этого файла равен 0 байтам. Когда я установил snort, в каталоге / var / log / snort не было файла предупреждений. Поэтому я создал один и дал владельцу разрешение на фырканье следующим образом.
sudo chown snort.snort alert
После чтения PCAP оба snort.log
и alert
не имеют содержимого (хотя дата изменения snort.log изменяется на последнюю дату и время чтения). Их размеры равны 0 байтам. Что я здесь делаю неправильно? Нужно ли мне делать некоторые дополнительные изменения для файлов rules / snort.conf?
One Solution collect form web for “Анализ файла Snort PCAP не записывает в файл предупреждений”
Похоже, что snort не записывает журнал предупреждений при обработке файла pcap, однако он должен написать правильный журнал захвата пакетов (например, /var/log/snort/snort.log.1502097194
).
Так как он не записывает журнал предупреждений, вы можете получить вместо него snort для записи сообщений журнала предупреждений в syslog с использованием флага -s
(или журнала событий в Windows с использованием -E
), например:
snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf
Затем вы должны увидеть предупреждения в syslog, например:
$ sudo tail -f /var/log/messages Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21
В вашем случае, скорее всего, snort.log
содержит данных, поскольку никаких предупреждений не было. Вы должны подтвердить это, либо просмотрев syslog, либо в сводном отчете, например:
Action Stats: Alerts: 1 ( 5.263%) Logged: 1 ( 5.263%) Passed: 0 ( 0.000%)