使用命令运行 snort(在数据包转储模式下)sudo snort -C snort.conf -A console -i eth0出现以下问题:
--== Initializing Snort ==--
Initializing Output Plugins!
Snort BPF option: snort.conf
pcap DAQ configured to passive.
The DAQ version does not support reload.
Acquiring network traffic from "eth0".
ERROR: Can't set DAQ BPF filter to 'snort.conf' (pcap_daq_set_filter: pcap_compile: syntax error)!
Fatal Error, Quitting..
有人可以提出解决方案吗?
您使用了错误的选项来加载配置,它应该是小写的“-c”。
sudo snort -c snort.conf -A console -i eth0
此外,您可以在运行之前使用“-T”测试您的配置:
sudo snort -T -c snort.conf
只需在命令中的 eth0 之前加上“-i”即可解决问题
尝试这个:
sudo service snort
ps ax|grep snortstart
我得到的输出是
/usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i enp4s0
手册页显示 -D 在守护程序模式下运行 Snort。除非另有说明,否则警报将发送到 /var/log/snort/alert。
所以当我删除 -D 并添加 -A
sudo /usr/sbin/snort -m 027 -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i enp4s0 -A console
适用于 snort 版本 2.9.7.0 GRE (Build 149)