Então eu estava seguindoeste guiasobre como instalar o Snort, Barnyard 2 e similares.
Eu configurei o Snort para que ele fosse executado automaticamente, editando o arquivo rc.local:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
E então reiniciei o computador. O Snort conseguiu executar e detectar o ataque, mas os arquivos de log (incluindo barnyard2.waldo) permaneceram em branco, mesmo que uma nova entrada de log fosse criada para cada ataque.
Não tenho certeza do que deu errado aqui, já que ele deveria registrar quaisquer ataques e armazená-los no diretório de log, certo?
Então, tentei alterar o parâmetro para:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
E quando verifiquei o arquivo de log, há dois arquivos de log, um em u2 e outro em formato tcpdump, mas ambos estão em branco e têm aproximadamente 0 bytes.
Então pensei em executá-lo no console para ver se funcionaria a partir daí, usando este comando:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
e verifiquei o arquivo de log para ver se ele registraria o ataque, mas ainda não o fez.
Responder1
Por favor, verifique as permissões dos arquivos de log e do diretório de log.
possível snort não é capaz de gravar nesse arquivo/diretório
Responder2
Parece que você nostampespecificou em seu snort.config. Encontre a linha output unified2: filename snort.log, limit 128e certifique-se de que não se pareça com:
output unified2: filename snort.log, limit 128, nostamp