我按照以下方式运行snort
sudo /usr/sbin/snort -m 027 -b -l ./snortLog -u OtagoHarbour -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0
./ snortLog收到文件alert和snort.log.1381507400。我想用WireShark检查日志文件。我启动了WireShark,选择了Import并在Input Filename字段中输入了日志文件的名称。然后我点击确定。我收到了一条关于保存以前捕获的数据包的消息。我选择了“继续不保存”,并且没有出现任何错误消息。但是数据包列表窗口是完全空的。
答案 0 :(得分:1)
您使用的是什么版本的Wireshark?
在任何情况下,如果你只是“启动Wireshark”并打开一个文件,你就不应该收到任何关于“保存以前捕获的数据包”的消息。
读取现有的pcap(tcpdump)二进制文件(这是我认为你以后的文件 你指定-b来snort)。