Así que estaba siguiendoesta guíasobre cómo instalar Snort, Barnyard 2 y similares.
Configuré Snort para que se ejecute automáticamente, editando el archivo rc.local:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
Y luego reinicié la computadora. Snort pudo ejecutar y detectar el ataque, pero los archivos de registro (incluido barnyard2.waldo) permanecieron en blanco, incluso si se creó una nueva entrada de registro para cada ataque.
No estoy seguro de qué salió mal aquí, ya que se supone que registra cualquier ataque y lo almacena en el directorio de registro, ¿verdad?
Luego, intenté cambiar el parámetro a:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
Y cuando revisé el archivo de registro, hay dos archivos de registro, uno en u2 y otro en formato tcpdump, pero ambos están en blanco y tienen aproximadamente 0 bytes.
Entonces pensé en ejecutarlo desde la consola para ver si funcionaba desde allí, usando este comando:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
y luego revisé el archivo de registro para ver si registraría el ataque, y todavía no lo hace.
Respuesta1
Verifique los permisos de los archivos de registro y el directorio de registro.
posible snort no puede escribir en ese archivo/directorio
Respuesta2
Parece que lo ha nostampespecificado en su snort.config. Busque la línea output unified2: filename snort.log, limit 128y asegúrese de que no se parezca a:
output unified2: filename snort.log, limit 128, nostamp