Итак, я следил это руководство о том, как установить Snort, Barnyard 2 и тому подобное.
Я настроил Snort, чтобы он запускался автоматически, отредактировав файл rc.local:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
Затем я перезапустил компьютер. Snort смог запустить и обнаружить атаку, но файлы журнала (включая barnyard2.waldo) остались пустыми, даже если для каждой атаки создавалась новая запись.
Я не уверен, что здесь пошло не так, поскольку он должен регистрировать любые атаки и сохранять их в каталоге журналов, верно?
Затем я попытался изменить параметр на:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
И когда я проверил файл журнала, есть два файла журнала, один в u2, а другой в формате tcpdump, но оба они пустые и имеют размер примерно 0 байт.
Итак, я решил запустить его с консоли, чтобы посмотреть, будет ли он работать оттуда, используя эту команду:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
и затем я проверил файл журнала, чтобы увидеть, будет ли он регистрировать атаку, но это все еще не так.
Пожалуйста, проверьте права доступа к файлам журналов и каталогу журналов.
возможно, snort не может записывать в этот файл / каталог
Похоже, у тебя есть nostamp указанный в вашем snort.config. Найдите линию output unified2: filename snort.log, limit 128 и убедитесь, что это не похоже на: output unified2: filename snort.log, limit 128, nostamp