我正在利用snort将pcap文件中的数据包与一组规则进行匹配。我想记录结果。我查看了var / log / snort生成的日志文件,但我想知道对应于原始wireshark pcap文件的哪个数据包编号已报告匹配。哪个命令会这样做?
答案 0 :(得分:2)
您可以使用 test 记录器。从命令行运行时,添加选项'-A test'。警报的输出格式为
(packet_number)(gid)(sid)(rev)。
packet_number对应于pcap的数据包编号。您可以使用其他三条信息来确定触发的规则。