3

Snort セットアップの新しいインスタンスがあります。アラート ログを確認しようとすると、ディレクトリに /var/log/snort/alert ファイルがないことに気付きました。このファイルに触れて chmod を実行して、snort ユーザーに読み取りと書き込みのアクセス権を付与しようとしましたが、まだアラートが表示されません (すべての呼び出しをキャッチしてエラーとしてログに記録するルールを作成しても)

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

何か不足している場合はどうすればよいですか。

ちなみに、Snort で実行するコマンドは次のとおりです。

sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

何か不足していますか?

4

2 に答える 2

1

アラートを syslog に送信する場合は、snort.conf ファイル (この場合は /etc/snort/snort.conf) で output キーワードを使用して指定する必要があります。キーワード「output」、名前「alert_syslog」、オプションを追加する必要があります。

output <name>: <options>

したがって、次のようなものが snort.conf ファイルにあるはずです。

output alert_syslog: log_alert

alert_syslog で使用できるオプションの詳細については、こちらをご覧ください

于 2014-10-10T02:26:40.617 に答える