为什么我的 Snort 日志为空？

我运行的是 macOS Sierra 10.12.3

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.12.3
BuildVersion:   16D32

我已经使用安装了snorthomebrew https://brew.sh

$ brew install snort
$ brew ls --versions snort
snort 2.9.9.0

我正在打呼噜，并带着user配置文件，-ssyslog 开关和 tcpdump 文件

$ sudo snort -c /etc/snort/snort.conf -s -r tcpdump.pcap

my /etc/snort/snort.conf文件有以下内容output设置：

output alert_syslog: LOG_AUTH LOG_ALERT

当我执行时，会创建一个空白文件/var/log/snort/snort.log.1489953549

我知道我的规则正在发挥作用，因为如果我以警报模式执行 snortfast

$ sudo snort -c /etc/snort/snort.conf -A fast -r tcpdump.pcap

a new blank /var/log/snort/snort.log.1489954258被创建，但是一个/var/log/snort/alert还会创建日志文件，其中包含正确的警报输出。

我见过others https://ubuntuforums.org/showthread.php?t=2090342由于权限的原因遇到这个问题，但我不认为这是我的问题，因为我正在运行 snortsudo并且它能够写入alert登录就好了。

I also do not have $NO_PACKET_LOG据我所知。参考 https://www.snort.org/faq/my-snort-log-is-an-empty-file-what-could-be-the-cause

看起来brew在下面安装了一些默认的snort配置文件/usr/local/etc/snort，但我不认为这些会影响我，因为我正在使用-c切换以提供user配置文件。

免责声明：这是我第一次使用 snort，所以这可能是我遗漏的一些非常明显的东西。非常感谢任何和所有的帮助。

TL;DR
Use tcpdump, snort, tshark, or Wireshark https://www.wireshark.org/download.html读取snort日志文件（如何查看snort日志文件 https://stackoverflow.com/questions/3477081/how-to-view-snort-log-files)

$ sudo tcpdump -r snort.log.1489953549 

My empty日志文件实际上从来不是空的（注意文件大小来自ls)

$ ls -ltr /var/log/snort/
-rw-------  1 root  admin   56018718 Mar 19 15:03 snort.log.1489954258
-rw-------  1 root  admin   56018718 Mar 19 15:11 snort.log.1489953549
-rw-r--r--  1 root  admin   70202224 Mar 19 15:11 alert

必须使用正确的应用程序读取 Snort 日志文件

它是什么类型的文件？

$ sudo file snort.log.1489953549
snort.log.1489953549: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514)

读取文件tcpdump

$ sudo tcpdump -r snort.log.1489954258
06:54:16.654692 IP 192.168.5.81.amt-blc-port > 100.100.100.212.6667: Flags [P.], seq 1304973037:1304973067, ack 1425084530, win 8011, options [nop,nop,TS val 14215752 ecr 2196036272], length 30
...