0

我按如下方式运行snort

sudo /usr/sbin/snort -m 027 -b -l ./snortLog -u OtagoHarbour -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

./snortLog 收到文件 alert 和 snort.log.1381507400。我想用 WireShark 检查日志文件。我启动了 WireShark,选择了 Import 并在 Input Filename 字段中输入了日志文件的名称。然后我点击确定。我收到一条关于保存以前捕获的数据包的消息。我选择了“继续而不保存”,它继续没有错误消息。然而,数据包列表窗口是完全空的。

4

1 回答 1

1

您使用的是什么版本的 Wireshark?

无论如何,如果您只是“启动了 Wireshark”并打开了一个文件,那么您不应该收到任何有关“保存以前捕获的数据包”的消息。

读取现有的 pcap(tcpdump) 二进制文件(这是我认为自从您指定 -b 到 snort 以来您所拥有的)。

  1. 启动 Wireshark
  2. 做档案!打开不要使用文件!进口。
于 2013-10-13T14:16:35.430 回答