我正在尝试创建一个自定义Snort规则,只要它被触发就会输出一个日志文件。我的规则如下:
log tcp $HOME_NET any -> any any (msg: "Facebook Accessed"; content:"www.facebook.com"; logto:"facebook.log"; content:"www.facebook.com"; threshold: type limit, track by_dst, count:1, seconds:60;
我用以下命令调用Snort:
snort -A console -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort
但是,没有创建facebook.log
个文件。我可以看到所有snort.log
个文件,并且相同规则的警报工作正常。我已授予用户snort
写入/var/log/snort
的权限。
我错过了什么?