从snort读取警报日志

Question

我有一个带有snort设置的新实例。当我尝试查看警报日志时，我注意到该目录没有/var/ log /snort/alert文件。我尝试访问这个文件并访问chmod，以便为我的snort用户提供读写访问权限，但我仍然没有得到任何警告(即使我创建了一个规则来捕获所有调用并将它们作为错误记录在日志中)

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

知道我是不是漏掉了什么。

顺便说一下，下面是我为Snort运行的命令：

sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

我是不是遗漏了什么？

Answer 1

您不需要创建任何file.snort当某些内容与您的规则匹配时将创建它，它会生成一个alert.To执行此操作在完全警报模式下启动snort以记录所有警报，如下所示

‫‪snort‬‬ ‫‪-dev‬‬ ‫‪-i‬‬ ‫‪wlan0‬‬ ‫‪-c‬‬ ‫‪/etc/snort/snort.conf‬‬ ‫‪-l‬‬ ‫‪/var/log/snort/‬‬ ‫‪-A‬‬ ‫‪full‬‬

如果您有Linux，那么您可以通过以下命令转到路径‫‪‬‬ ‫‪cd /var/log/snort/‬‬并查看您的日志：cat alert | grep -i‬‬ ‬‬‫‪‫‪detected

Answer 2

如果希望将警报发送到syslog，则必须在snort.conf文件(在本例中为/etc/snort/snort.conf)中使用output关键字进行指定。您需要添加关键字"output“，然后添加名称"alert_syslog"，然后添加选项：

output <name>: <options>

因此，您的snort.conf文件中应该包含以下内容：

output alert_syslog: log_alert

了解有关可与alert_syslog here一起使用的选项的详细信息