だから私はこのガイドSnort、Barnyard 2 などのインストール方法について説明します。
rc.local ファイルを編集して、Snort が自動的に実行されるように設定しました。
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
その後、コンピューターを再起動しました。Snort は実行して攻撃を検出できましたが、攻撃ごとに新しいログ エントリが作成されたにもかかわらず、ログ ファイル (barnyard2.waldo を含む) は空白のままでした。
ここで何が間違っているのかわかりません。攻撃はすべてログに記録され、ログ ディレクトリに保存されるはずですよね?
次に、パラメータを次のように変更してみました。
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
ログ ファイルを確認すると、u2 形式と tcpdump 形式の 2 つのログ ファイルがありましたが、どちらも空白で、約 0 バイトでした。
そこで、次のコマンドを使用してコンソールから実行し、そこから機能するかどうかを確認してみようと思いました。
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
そして、ログ ファイルをチェックして、攻撃がログに記録されるかどうかを確認しましたが、まだ記録されていません。
答え1
ログファイルとログディレクトリの権限を確認してください。
snort がそのファイル/ディレクトリに書き込めない可能性があります
答え2
nostampsnort.config で指定したようです。行を見つけてoutput unified2: filename snort.log, limit 128、次のようになっていないことを確認してください:
output unified2: filename snort.log, limit 128, nostamp