我在 ubuntu 14.04 虚拟机中使用 snort。这就是我安装snort的方式。
sudo apt-get update
sudo apt-get install snort
我没有更改/etc/snort/snort.conf或规则文件。它们保留为默认值,我使用以下命令进行 PCAP 读取。
sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap
PCAP 文件已成功读取并创建了 snort.log 文件,但该文件的大小为 0 字节。当我安装snort时,/var/log/snort目录中没有警报文件。因此,我创建了一个并授予所有者使用 snort 的权限,如下所示。
sudo chown snort.snort alert
PCAP 读取后,snort.log和alert文件都没有内容(尽管 snort.log 修改日期更改为上次读取日期和时间)。它们的大小为 0 字节。我在这里做错了什么?我需要对rules/snort.conf 文件进行一些额外的更改吗?
答案1
看来snort在处理pcap文件时不会写入警报日志,但它应该写入正确的数据包捕获日志(例如/var/log/snort/snort.log.1502097194)。
-s由于它不写入警报日志,因此您可以使用 snort 使用标志(或 Windows 中的事件日志)将警报日志消息写入系统日志,-E例如:
snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf
然后您应该在系统日志中看到警报,例如:
$ sudo tail -f /var/log/messages
Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21
在您的情况下,很可能snort.log不包含任何数据,因为没有触发警报。您应该能够通过查看系统日志或随后的摘要报告来确认这一点,例如:
Action Stats:
Alerts: 1 ( 5.263%)
Logged: 1 ( 5.263%)
Passed: 0 ( 0.000%)