Ubuntu 14.04仮想マシンでsnortを使用しています。これが私がsnortをインストールした方法です。
sudo apt-get update
sudo apt-get install snort
/etc/snort/snort.conf変更やルールファイルはありません。デフォルト値のままにして、PCAP の読み取りには次のコマンドを使用します。
sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap
PCAPファイルを正常に読み込んでsnort.logファイルを作成しましたが、ファイルサイズは0バイトです。 snortをインストールしたとき、/var/log/snortディレクトリに警告ファイルがありませんでした。そのため、1つを作成し、以下のように所有者にsnort権限を与えました。
sudo chown snort.snort alert
PCAPを読んだ後、snort.logファイルalertに内容はありません(snort.log変更日が最後に読んだ日時に変わります)。サイズは0バイトです。私がここで何を間違っているのか? rule/snort.confファイルをさらに変更する必要がありますか?
答え1
snortはpcapファイルを処理するときに警告ログを作成しないようですが、正しいパケットキャプチャログ(たとえば/var/log/snort/snort.log.1502097194)を作成する必要があります。
-s警告ログに記録されないため、snortフラグ(またはWindowsのイベントログ)を使用してシステムログに警告ログメッセージを記録できます。-E例:
snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf
これにより、システムログに次の警告が表示されます。
$ sudo tail -f /var/log/messages
Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21
お客様の場合、snort.log警告はトリガーされていないため、データが含まれていない可能性があります。システムログまたは後続の要約レポートを見ると、これを確認できます。たとえば、次のようになります。
Action Stats:
Alerts: 1 ( 5.263%)
Logged: 1 ( 5.263%)
Passed: 0 ( 0.000%)