그래서 따라하고 있었어이 가이드Snort, Barnyard 2 등을 설치하는 방법에 대해 설명합니다.
rc.local 파일을 편집하여 Snort가 자동으로 실행되도록 설정했습니다.
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
그런 다음 컴퓨터를 다시 시작했습니다. Snort는 공격을 실행하고 탐지할 수 있었지만 각 공격에 대해 새 로그 항목이 생성되더라도 로그 파일(barnyard2.waldo 포함)은 공백으로 남아 있었습니다.
여기서 무엇이 잘못되었는지 잘 모르겠습니다. 모든 공격을 기록하고 이를 로그 디렉터리에 저장해야 하기 때문입니다. 그렇죠?
그런 다음 매개변수를 다음과 같이 변경해 보았습니다.
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
그리고 로그 파일을 확인해 보니 u2 형식과 tcpdump 형식의 로그 파일이 두 개 있는데 둘 다 비어 있고 크기가 약 0바이트입니다.
그래서 다음 명령을 사용하여 콘솔에서 실행하여 거기에서 작동하는지 확인해야겠다고 생각했습니다.
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
그런 다음 로그 파일을 확인하여 공격이 기록되는지 확인했지만 여전히 기록되지 않습니다.
답변1
로그 파일과 로그 디렉터리의 권한을 확인하세요.
가능한 snort가 해당 파일/디렉토리에 쓸 수 없습니다
답변2
nostampsnort.config에 지정한 것 같습니다 . 해당 줄을 찾아 output unified2: filename snort.log, limit 128다음과 같지 않은지 확인하세요.
output unified2: filename snort.log, limit 128, nostamp