所以我按照这个指南来了解如何安装 Snort、Barnyard 2 等。
我已经通过编辑 rc.local 文件设置了 Snort,让它自动运行:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
然后我重新启动了计算机。Snort 能够运行并检测到攻击,但日志文件(包括 barnyard2.waldo)仍然空白,即使为每次攻击创建了一个新的日志条目。
我不确定这里出了什么问题,因为它应该记录任何攻击并将其存储在日志目录中,对吗?
然后,我尝试将参数更改为:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
当我检查日志文件时,有两个日志文件,一个是 u2 格式,另一个是 tcpdump 格式,但它们都是空白的,大约为 0 字节。
所以我想我会从控制台运行它,看看它是否可以从那里使用这个命令:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
然后我检查了日志文件,看看它是否会记录攻击,但它仍然没有。