Анализ файла Snort PCAP не записывает в файл предупреждений

Я использую snort в своей виртуальной машине ubuntu 14.04. Вот как я установил фырканье.

sudo apt-get update sudo apt-get install snort 

Я не /etc/snort/snort.conf файл /etc/snort/snort.conf или файл правил. Они остаются как по умолчанию, и я читал PCAP, используя следующую команду.

 sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap 

Файл PCAP успешно читается и создается файл snort.log, но размер этого файла равен 0 байтам. Когда я установил snort, в каталоге / var / log / snort не было файла предупреждений. Поэтому я создал один и дал владельцу разрешение на фырканье следующим образом.

 sudo chown snort.snort alert 

После чтения PCAP оба snort.log и alert не имеют содержимого (хотя дата изменения snort.log изменяется на последнюю дату и время чтения). Их размеры равны 0 байтам. Что я здесь делаю неправильно? Нужно ли мне делать некоторые дополнительные изменения для файлов rules / snort.conf?

  • Не удается установить Snort 2.9.6.1 из-за «Не совместимой архитектуры»,
  • Получено сообщение «ОШИБКА: не удается декодировать канал связи типа 239» при включении режима сниффера
  • Как создать сетевой трафик и сохранить его в pcap-файлы?
  • Как установить 64-битное snort на 64-битный openSUSE 13.1?
  • Блокирование HTTP-содержимого gzip с помощью Iptables или Snort?
  • Barnyard 2 не работает на OpenBSD
  • libdnet установлен, но не может быть найден snort
  • Прочтите файлы snort.u2
  • One Solution collect form web for “Анализ файла Snort PCAP не записывает в файл предупреждений”

    Похоже, что snort не записывает журнал предупреждений при обработке файла pcap, однако он должен написать правильный журнал захвата пакетов (например, /var/log/snort/snort.log.1502097194 ).

    Так как он не записывает журнал предупреждений, вы можете получить вместо него snort для записи сообщений журнала предупреждений в syslog с использованием флага -s (или журнала событий в Windows с использованием -E ), например:

     snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf 

    Затем вы должны увидеть предупреждения в syslog, например:

     $ sudo tail -f /var/log/messages Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21 

    В вашем случае, скорее всего, snort.log содержит данных, поскольку никаких предупреждений не было. Вы должны подтвердить это, либо просмотрев syslog, либо в сводном отчете, например:

     Action Stats: Alerts: 1 ( 5.263%) Logged: 1 ( 5.263%) Passed: 0 ( 0.000%) 
    Interesting Posts

    Файл с атрибутом no-atime-updates «А» все еще обновляет atime. Зачем?

    Высота башни GTK3

    CentOS: предупредить всех пользователей настольных компьютеров от comand-line

    Разрешение отклонено без подключения ssh

    Как запретить корень, разрешить отдельным пользователям во внутренней подсети и разрешать группы из внешних, на SSH / SFTP

    wget не загружает файлы рекурсивно

    Проблема с символом ncmpcpp

    Попытка вставить символы через скрипт оболочки, привязанный к горячей клавише

    Как запустить простую программу Java с помощью команды терминала?

    mount – привязать другого пользователя к себе

    Двойная загрузка Ubuntu и Windows 8. w8 загружается через оболочку grub, но не из меню

    Как заставить систему автоматически монтировать зашифрованное устройство в Linux

    Арифметические операции с expr и переменными

    Парсинговые пары фигурных скобок, содержащие скобки

    Создайте глобальную переменную окружения после загрузки

    Linux и Unix - лучшая ОС в мире.