从snort中读取警报日志

时间:2014-10-07 23:03:02

标签: logging snort intrusion-detection

我有一个新的snort设置实例。 当我试着查看警报日志时,我注意到该目录没有/ var / log / snort / alert文件。 我试图触摸这个文件并chmod给我的snort用户提供读写访问权限但我仍然没有警报(即使我创建了一条规则来捕获所有调用并将它们作为错误放入日志中)

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

任何想法,如果我错过了什么。

顺便说一句,这是我为Snort运行的命令:

sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

我错过了什么吗?

2 个答案:

答案 0 :(得分:1)

如果要将警报发送到syslog,则必须使用output关键字在snort.conf文件(在您的情况下为/etc/snort/snort.conf)中指定。您需要添加关键字“output”,然后添加名称“alert_syslog”,然后添加选项:

output <name>: <options>

因此,您的snort.conf文件中应包含以下内容:

output alert_syslog: log_alert

详细了解可与alert_syslog here

一起使用的选项

答案 1 :(得分:1)

您不需要创建任何file.snort,当符合您的规则时会创建它并生成警报。要执行此操作,请在完全警报模式下启动snort,以便通过类似的内容记录所有警报< / p> 

func shouldPerformSegueWithIdentifier(identifier: String, sender: AnyObject) -> Bool {
    if (identifier == "Login") {
        return false
    }
    return true
}

然后,如果你有Linux,你可以转到路径‫‪snort‬‬ ‫‪-dev‬‬ ‫‪-i‬‬ ‫‪wlan0‬‬ ‫‪-c‬‬ ‫‪/etc/snort/snort.conf‬‬ ‫‪-l‬‬ ‫‪/var/log/snort/‬‬ ‫‪-A‬‬ ‫‪full‬‬ 并通过此命令查看日志:‫‪‬‬ ‫‪cd /var/log/snort/‬‬

相关问题
最新问题