1

我正在使用 snort 将 pcap 文件中的数据包与一组规则进行匹配。我想记录结果。我查看了在 var/log/snort 生成的日志文件,但我想知道与原始 wireshark pcap 文件对应的哪些数据包编号已报告匹配。哪个命令会这样做?

4

1 回答 1

2

您可以使用测试记录器。从命令行运行时,添加选项“-A test”。警报的输出将具有以下格式

(packet_number) (gid) (sid) (rev)。

packet_number 对应 pcap 的包号。您可以使用其他三个信息来确定触发的规则。

于 2014-08-23T03:24:30.440 回答