所以我关注本指南关于如何安装 Snort、Barnyard 2 等。
我已经设置了 Snort,以便它可以通过编辑 rc.local 文件自动运行:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
然后我重启了电脑。Snort 可以运行并检测到攻击,但日志文件(包括 barnyard2.waldo)仍然是空白的,即使每次攻击都会创建一个新的日志条目。
我不确定这里出了什么问题,因为它应该记录任何攻击并将其存储在日志目录中,对吗?
然后,我尝试将参数更改为:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
当我检查日志文件时,有两个日志文件,一个是 u2 格式,另一个是 tcpdump 格式,但它们都是空白的,大约为 0 字节。
所以我想我会从控制台运行它,看看它是否可以从那里工作,使用以下命令:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
然后我检查了日志文件,看它是否记录了这次攻击,但仍然没有。
答案1
请检查日志文件和日志目录的权限。
可能 Snort 无法写入该文件/目录
答案2
似乎您已nostamp在 snort.config 中指定。找到该行output unified2: filename snort.log, limit 128并确保它看起来不像:
output unified2: filename snort.log, limit 128, nostamp