1

Snort を使用して、一連のルールに対して pcap ファイル内のパケットを照合しています。結果を記録したい。var/log/snort で生成されたログ ファイルを見ましたが、元のwireshark pcap ファイルに対応するどのパケット番号が一致を報告したかを知りたいです。どのコマンドがそれを行いますか?

4

1 に答える 1

2

テストロガーを使用できます。コマンド ラインから実行する場合は、オプション '-A test' を追加します。アラートの出力の形式は次のとおりです。

(packet_number) (gid) (sid) (rev)。

packet_number は、pcap のパケット番号に対応します。他の 3 つの情報を使用して、トリガーされたルールを判別できます。

于 2014-08-23T03:24:30.440 に答える