0

我正在使用 snort-2.9.7.0 并通过这个简单的代码检查数据包:
alert tcp any any -> $HOME_NET any (msg:"FB found in packet content!!!"; content:"FB"; sid:10000; ) 我想知道数据包的来源并存储它。引导我。
谢谢并恭祝安康。

4

1 回答 1

0

您应该调整警报的输出格式;为此,请在您的配置文件中添加这一行:

output alert_fast: <full path to output file>/snort.log

正如你在这里,这将打印带有完整数据包头的 Snort 警报消息,其中包含源 IP 地址和目标 IP 地址,并将保存在 snort.log 文件中。

编辑:日志文件可以在任何你喜欢的地方,它的名字可以由你决定。例如:

output alert_fast: ~/Desktop/my_snort_log.txt
于 2015-02-03T23:17:06.733 回答