我正在使用snort-2.9.7.0并通过这个简单的代码检查数据包:
alert tcp any any -> $HOME_NET any (msg:"FB found in packet content!!!"; content:"FB"; sid:10000; )
我想知道数据包来自何处并存储它。指导我。
谢谢和问候。
答案 0 :(得分:0)
您应该调整警报的输出格式;为此,请在配置文件中添加以下行:
output alert_fast: <full path to output file>/snort.log
当您here时,这将打印包含源和目标IP地址的完整数据包标头的Snort警报消息,并将保存在snort.log文件中。
编辑:日志文件可以放在您喜欢的任何地方,并且您可以确定其名称。例如:
output alert_fast: ~/Desktop/my_snort_log.txt