作为记录:我做了以下说明(在网站上找到它们)
snort_syslog和snortunified)。在外星人保险库中:~# nano /etc/snort/rules/local.rules
我做了以下规则
alert icmp 192.168.1.130 192.168.1.120 -> any any
(msg:"blablabla"; sid:1000004)
保存并退出
之后我做了:
alienvault:~# perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/
alienvault:~# /etc/init.d/ossim-server restart由于某些原因,当我192.168.1.120从192.168.1.130.
我不知道它是否仍然相关,但我认为您的 Snort 规则中有一个错误:
Snort 中的规则不能在规则头的第一部分包含两个 IP 地址。在您声明 IP ' 192.168.1.120 ' 时,您必须声明一个端口。
您需要的解决方案如下所示(如果我理解正确的话):
警报 icmp 192.168.120 any -> 192.168.1.130 any (msg:"blablabla"; sid: 1000004 )
还有另一种方式:
警报 icmp 192.168.1.130 any -> 192.168.1.120 any (msg:"blablabla"; sid: 1000005 )
要以正确的语法编写规则,请查看 snort 手册:http: //manual.snort.org/node29.html#SECTION00423000000000000000
我希望这可以帮助你。
/克里斯