Прочтите журнал предупреждений из snort

Question

У меня есть новый экземпляр с настройкой snort. Когда я попытался посмотреть журнал предупреждений, я заметил, что в каталоге нет файла/var/log/snort/alert. Я попытался коснуться этого файла и chmod, чтобы дать доступ для чтения и записи к моему пользователю snort, но у меня все еще нет предупреждения (даже если я создаю правило, чтобы поймать все вызовы и поместить их в журнал их как ошибки)

alert ip any any -> any any (msg: "ICMP packet detected!"; sid: 1;) 

Любая идея, если мне что-то не хватает.

Кстати вот это команда бегаю для Snort:

sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0 

ли я что-то отсутствует?

Answer 1

Если вы хотите, чтобы предупреждения отправлялись в syslog, вы должны указать это в файле snort.conf (/etc/snort/snort.conf в вашем случае) с ключевым словом output. Вам нужно добавить ключевое слово «Выход», а затем название «alert_syslog», а затем варианты:

output <name>: <options> 

Так что-то вроде следующего должно быть в файле snort.conf:

output alert_syslog: log_alert 

Подробнее о вариантах, которые можно использовать с alert_syslog here

Answer 2

Вам не нужно создавать файл file.snort, создавая его, когда что-то соответствует вашему правилу и генерирует предупреждение. Для этого начните свое фырканье в полном объеме режим оповещения для регистрации всех предупреждений по somet повешу как этого

‫‪snort‬‬ ‫‪-dev‬‬ ‫‪-i‬‬ ‫‪wlan0‬‬ ‫‪-c‬‬ ‫‪/etc/snort/snort.conf‬‬ ‫‪-l‬‬ ‫‪/var/log/snort/‬‬ ‫‪-A‬‬ ‫‪full‬‬ 

Тогда, если у вас есть Linux вы можете пойти по пути ‫‪‬‬ ‫‪cd /var/log/snort/‬‬ и просмотреть журналы с помощью этой команды: cat alert | grep -i‬‬ ‬‬‫‪‫‪detected