所以我正在關注本指南關於如何安裝 Snort、Barnyard 2 等。
我已經透過編輯 rc.local 檔案設定了 Snort,以便它自動運行:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
然後我重新啟動了計算機。 Snort 能夠運行並偵測攻擊,但日誌檔案(包括 barnyard2.waldo)仍為空白,即使為每次攻擊建立了新的日誌條目也是如此。
我不確定這裡出了什麼問題,因為它應該記錄所有攻擊並將其儲存在日誌目錄中,對嗎?
然後,我嘗試將參數更改為:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
當我檢查日誌檔案時,有兩個日誌文件,一個是 u2 格式,另一個是 tcpdump 格式,但它們都是空白的,大約是 0 位元組。
所以我想我應該從控制台運行它,看看它是否可以使用以下命令從那裡工作:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
然後我檢查了日誌文件,看看它是否會記錄攻擊,但仍然沒有。
答案1
請檢查日誌檔案和日誌目錄的權限。
可能的 snort 無法寫入該檔案/目錄
答案2
似乎您已經nostamp在 snort.config 中指定了。找到該行output unified2: filename snort.log, limit 128並確保它看起來不像:
output unified2: filename snort.log, limit 128, nostamp