Итак, я следовалэто руководствоо том, как установить Snort, Barnyard 2 и т.п.
Я настроил Snort так, чтобы он запускался автоматически, отредактировав файл rc.local:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
И затем я перезагрузил компьютер. Snort смог запуститься и обнаружить атаку, но файлы журнала (включая barnyard2.waldo) оставались пустыми, даже если для каждой атаки создавалась новая запись журнала.
Я не совсем понимаю, что здесь пошло не так, ведь предполагается, что все атаки регистрируются и сохраняются в каталоге журналов, верно?
Затем я попробовал изменить параметр на:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
И когда я проверил файл журнала, там было два файла журнала, один в формате u2 и другой в формате tcpdump, но они оба пустые и имеют размер приблизительно 0 байт.
Поэтому я решил запустить его из консоли и посмотреть, будет ли он работать оттуда, используя следующую команду:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
Затем я проверил файл журнала, чтобы увидеть, регистрируется ли атака, но этого по-прежнему не происходит.
решение1
Проверьте права доступа к файлам журналов и каталогу журналов.
возможно snort не может записать в этот файл/каталог
решение2
Похоже, вы nostampуказали в snort.config. Найдите строку output unified2: filename snort.log, limit 128и убедитесь, что она не выглядит так:
output unified2: filename snort.log, limit 128, nostamp