Я использую snort
для регистрации всего трафика на интерфейсе
snort -i eth1 -l /interface/log/dir -b -U -m 112
С помощью этой команды мне удается получить ВСЕ данные, что делает мои файлы журналов очень большими.
Есть ли способ указать snort только для выходных пакетов, которые приходят или идут в определенный список подсетей? (Больше, чем один)
смотреть на /etc/snort/snort.conf
Вы можете определить свою домашнюю и внешнюю сети. Пока внешние сети обрабатываются, домашние сети игнорируются.
var HOME_NET [10.1.1.0/24,192.168.1.0/24]
вы можете легко расширить этот список.
После того, как вы определили свои разумные и домашние сети, вы можете исключить правила, которые вы не используете или которые не нужно отслеживать.
include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/community-exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
# include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
Просто раскомментируйте ненужные правила.