我运行的是 macOS Sierra 10.12.3
$ sw_vers
ProductName: Mac OS X
ProductVersion: 10.12.3
BuildVersion: 16D32
我已经使用安装了snorthomebrew https://brew.sh
$ brew install snort
$ brew ls --versions snort
snort 2.9.9.0
我正在打呼噜,并带着user配置文件,-s
syslog 开关和 tcpdump 文件
$ sudo snort -c /etc/snort/snort.conf -s -r tcpdump.pcap
my /etc/snort/snort.conf
文件有以下内容output设置:
output alert_syslog: LOG_AUTH LOG_ALERT
当我执行时,会创建一个空白文件/var/log/snort/snort.log.1489953549
我知道我的规则正在发挥作用,因为如果我以警报模式执行 snortfast
$ sudo snort -c /etc/snort/snort.conf -A fast -r tcpdump.pcap
a new blank /var/log/snort/snort.log.1489954258
被创建,但是一个/var/log/snort/alert
还会创建日志文件,其中包含正确的警报输出。
我见过others https://ubuntuforums.org/showthread.php?t=2090342由于权限的原因遇到这个问题,但我不认为这是我的问题,因为我正在运行 snortsudo
并且它能够写入alert
登录就好了。
I also do not have $NO_PACKET_LOG
据我所知。参考 https://www.snort.org/faq/my-snort-log-is-an-empty-file-what-could-be-the-cause
看起来brew在下面安装了一些默认的snort配置文件/usr/local/etc/snort
,但我不认为这些会影响我,因为我正在使用-c
切换以提供user配置文件。
免责声明:这是我第一次使用 snort,所以这可能是我遗漏的一些非常明显的东西。非常感谢任何和所有的帮助。