我有一個新的snort安裝實例。 當我試圖查看警報日誌時,我發現該目錄沒有/ var/log/snort/alert文件。 我試圖觸摸這個文件和chmod給我的snort用戶的讀寫權限,但我仍然沒有提示(即使我創建了一個規則來捕獲所有的電話,並將它們記錄在日誌中作爲錯誤)閱讀snort的警報日誌
alert ip any any -> any any (msg: "ICMP packet detected!"; sid: 1;)
任何想法,如果我失去了一些東西。
這裏的方式是我的Snort的運行命令:
sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0
我這麼想嗎?
如果您希望警報進入系統日誌,您必須在snort.conf文件(在您的情況下爲/etc/snort/snort.conf)中使用output關鍵字指定此警報。您需要添加關鍵字「輸出」,然後命名爲「alert_syslog」,然後選項:
output <name>: <options>
因此,像下面應該在你的snort.conf中的文件:
output alert_syslog: log_alert
閱讀更多有關可用於alert_syslog的選項的信息here
您不需要創建任何file.snort會在符合您的規則並且會生成警報時創建它。要執行此操作,請啓動您的snort警報模式通過somet記錄所有警報興這樣
snort -dev -i wlan0 -c /etc/snort/snort.conf -l /var/log/snort/ -A full
然後,如果你有Linux的,你可以去的路徑 cd /var/log/snort/,並通過這個命令來查看你的日誌:cat alert | grep -i detected