3

我有一个带有 snort 设置的新实例。当我试图查看警报日志时,我注意到该目录没有 /var/log/snort/alert 文件。我试图触摸这个文件并 chmod 为我的 snort 用户提供读写访问权限,但我仍然没有警报(即使我创建了一个规则来捕获所有调用并将它们作为错误放入日志中)

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

任何想法,如果我错过了什么。

顺便说一下,这是我为 Snort 运行的命令:

sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

我错过了什么吗?

4

2 回答 2

2
于 2016-01-01T15:56:03.303 回答
1

如果您希望警报转到 syslog,您必须在 snort.conf 文件(在您的情况下为 /etc/snort/snort.conf)中使用 output 关键字指定它。您需要添加关键字“输出”,然后是名称“alert_syslog”,然后是选项:

output <name>: <options>

因此,您的 snort.conf 文件中应包含以下内容:

output alert_syslog: log_alert

在此处阅读有关可与 alert_syslog 一起使用的选项的更多信息

于 2014-10-10T02:26:40.617 回答