Я слишком долго над этим работаю. Я уверен, что ответ должен быть очевиден, но ...
Руководство по Snort: http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf перечисляет два вывода журнала на стр. 39 (стр. 40 согласно Acrobat Reader) как: «Унифицированный вывод» и «Вывод файла журнала», что, как я предполагаю, относится к «унифицированному» режиму вывода ... что заставляет меня думать, что ответ равно «Нет, snort не может выводить предупреждения об обнаруженных сканированиях портов в системный журнал».
Файл конфигурации, который я использовал:
alert tcp any 80 -> any any (msg:"TestTestTest"; content: "testtesttest"; sid:123) preprocessor sfportscan: proto { all } \
memcap { 10000000 } \
scan_type { all } \
sense_level { high } \
logfile { pscan.log }
(да, я знаю очень просто).
Простой nmap запускает вывод в pscan.log
Кто-нибудь может это подтвердить? Или укажите, как я это делаю?
Snort имеет несколько вариантов вывода. Это исторически включало системный журнал, но даже если в настоящее время этого нет, вы можете использовать barnyard для вывода в syslog (и я предполагаю, что barnyard2 тоже включает, но я не тестировал его).
Думаю, я понимаю ваше замешательство. Страница 96 из руководство подробно описывает (предупреждает) запись в системный журнал, однако журнал, на который вы ссылаетесь, предназначен для ведения журнала пакеты, а не предупреждения.
Итак, да, вы можете писать предупреждения в системный журнал, но вы просто не можете записывать пакеты в системный журнал.