Ich folgte alsodieser Leitfadenzur Installation von Snort, Barnyard 2 und dergleichen.
Ich habe Snort so eingerichtet, dass es automatisch ausgeführt wird, indem ich die Datei rc.local bearbeitet habe:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
Anschließend habe ich den Computer neu gestartet. Snort konnte ausgeführt werden und den Angriff erkennen, aber die Protokolldateien (einschließlich barnyard2.waldo) blieben leer, auch wenn für jeden Angriff ein neuer Protokolleintrag erstellt wurde.
Ich bin nicht sicher, was hier schief gelaufen ist, da alle Angriffe protokolliert und im Protokollverzeichnis gespeichert werden sollen, oder?
Dann habe ich versucht, den Parameter wie folgt zu ändern:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
Und als ich die Protokolldatei überprüfte, gab es zwei Protokolldateien, eine im U2- und eine im TCPdump-Format, aber beide sind leer und ungefähr 0 Byte groß.
Daher dachte ich, ich führe es von der Konsole aus, um zu sehen, ob es von dort aus mit diesem Befehl funktioniert:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
und ich habe dann die Protokolldatei geprüft, um zu sehen, ob der Angriff protokolliert wird, und das tut sie immer noch nicht.
Antwort1
Bitte überprüfen Sie die Berechtigungen der Logdateien und des Logverzeichnisses.
Möglicherweise kann Snort nicht in diese Datei/dieses Verzeichnis schreiben
Antwort2
Scheint, als hätten Sie nostampdies in Ihrer snort.config angegeben. Suchen Sie die Zeile output unified2: filename snort.log, limit 128und stellen Sie sicher, dass sie nicht so aussieht:
output unified2: filename snort.log, limit 128, nostamp