我正在使用snort。我只想报告每个数据包匹配的 1 条规则。就像,如果一个数据包匹配多个规则,那么它应该只报告或记录它匹配的一个规则。据我了解,到目前为止,您必须在 snort.conf 文件中进行更改。我更改了 snort.conf 的这一行
config event_queue: max_queue 8 log 3 order_events content_length
和
config event_queue: max_queue 1 log 1 order_events content_length
并保存此文件。
但是现在当我运行 pcap 文件时,它再次报告针对单个数据包的多个匹配项。
我还需要做什么才能完成这项工作?
在 snort.conf 中进行更改后
我这样做了:
snort restart
但它给了我这个错误:
看不到要“重启”的 DAQ BPF 过滤器
配置:
配置 event_queue:max_queue 1 日志 1
应该是你所需要的。如果它仍然在每个数据包/流中记录超过 1 个事件,则 snort 不会使用新配置重新启动。
“重新启动 snort”不是重新启动 snort 的正确方法。您是否在守护程序模式下运行 snort?根据您正在运行的操作系统,您需要重新启动守护程序或终止 snort 进程并重新启动它,以便它可以获取新的 snort.conf 文件。通常要重新启动 snort 守护程序,您只需运行以下命令:
sudo /etc/init.d/snortd 重启
但同样,这取决于操作系统。
如果您没有在守护程序模式下运行 snort,那么您只需要终止该进程并重新启动它。您可以运行“pgrep snort”来获取 snort 的 pid。如果您不记得启动 snort 的选项,您可以运行“ps auxwww |grep snort”,这应该会返回您用来启动 snort 的命令。然后,您可以终止 pid 并再次运行相同的命令。希望这可以帮助。