우분투 14.04 가상 머신에서 snort를 사용하고 있습니다. 이것이 제가 snort를 설치한 방법입니다.
sudo apt-get update
sudo apt-get install snort
/etc/snort/snort.conf변경 사항 이나 규칙 파일이 없습니다 . 기본값으로 남겨두고 PCAP 읽기에 다음 명령을 사용합니다.
sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap
PCAP 파일을 성공적으로 읽어 snort.log 파일을 생성했지만 파일 크기가 0바이트입니다. snort를 설치했을 때 /var/log/snort 디렉터리에 경고 파일이 없었습니다. 그래서 하나를 만들고 아래와 같이 소유자에게 snort 사용 권한을 부여했습니다.
sudo chown snort.snort alert
PCAP를 읽은 후에는 snort.log파일 alert에 내용이 없습니다(snort.log 수정 날짜가 마지막으로 읽은 날짜 및 시간으로 변경됨). 크기는 0바이트입니다. 내가 여기서 뭘 잘못하고 있는 걸까? rule/snort.conf 파일을 추가로 변경해야 합니까?
답변1
snort는 pcap 파일을 처리할 때 경고 로그를 작성하지 않는 것 같지만 올바른 패킷 캡처 로그(예: /var/log/snort/snort.log.1502097194)를 작성해야 합니다.
-s경고 로그에 기록되지 않으므로 snort 플래그(또는 Windows의 이벤트 로그)를 사용하여 시스템 로그에 경고 로그 메시지를 기록할 수 있습니다. -E예:
snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf
그러면 시스템 로그에 다음과 같은 경고가 표시됩니다.
$ sudo tail -f /var/log/messages
Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21
귀하의 경우에는 snort.log경고가 트리거되지 않았으므로 데이터가 포함되어 있지 않을 가능성이 높습니다. 시스템 로그나 후속 요약 보고서를 보면 이를 확인할 수 있습니다. 예를 들면 다음과 같습니다.
Action Stats:
Alerts: 1 ( 5.263%)
Logged: 1 ( 5.263%)
Passed: 0 ( 0.000%)