不多说,直接上干货!
比如,在/root/log目录下。
[root@datatest ~]# snort -dve -l /root/log
需要注意:
1) /log目录需要你自己建立,并修改权限,以保证snort能够写入。即chmod 777 log是最好。
2)不要遗漏-l参数,用来指定写入日志位置。
3)存到给定的是目录,不是文件。
执行后系统将会在log目录下产生:
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 4 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 [root@datatest log]#
而也会以数据包目的主机的IP地址命名,这个1502291522就是IP的时间数字型。
大家可以用如下命令去查看
[root@datatest log]# pwd
/root/log
[root@datatest log]# snort -dv -r snort.log.1502291522
08/09-23:12:02.730461 192.168.80.68:22 -> 192.168.80.1:50708
TCP TTL:64 TOS:0x10 ID:37828 IpLen:20 DgmLen:140 DF
***AP*** Seq: 0x307B4918 Ack: 0x8291F83A Win: 0x12C TcpLen: 20
5A 60 25 74 24 19 33 70 86 20 DE 88 3E 4C 1B C0 Z`%t$.3p. ..>L..
6A E9 D6 44 04 1C A7 90 2C 93 88 44 1A 10 18 9C j..D....,..D....
0B 81 3E 7F 4C 24 7F 61 22 12 01 4C E3 BB 4B 00 ..>.L$.a"..L..K.
75 B5 3C F4 D5 E8 83 1B 48 6C 70 E1 A1 D8 00 C6 u.<.....Hlp.....
8D C4 A0 37 2A 13 CC E9 44 1F 86 3E 42 49 E1 D7 ...7*...D..>BI..
CF D8 0F BD 0A 89 5C F3 50 DF 8F 5A 43 E7 F0 A0 .......P..ZC...
27 8C FC 11 '...
....
即,是8月9日,23点12分02秒。
192.168.80.68即就是我这台datatest的主机地址。
这里,我扩展下
如果只指定了-l命令开关,而没有设置目录名,则snort有时会远程主机的Ip地址作为目录,有时会使用本地主机IP地址作为目录名。这样是一个不好的习惯。
则。假设,为了只对本地网络进行,则需要给出本地网络,如
[root@datatest ~]# snort -dve -l /root/log -h 192.168.80.1/24
192.168.80.1/24,这个稍微有点计算机网络基础的朋友都知道,是C类网络IP地址。则表明使得Snort把所有进入C类网络192.168.80.1的所有包的数据链路、TCP/IP以及应用层的数据记录到/root/log目录中。
得到
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 8 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 -rw-------. 1 root root 1318 Aug 9 23:33 snort.log.1502292829 [root@datatest log]#
读取出来打印到屏幕上,看看呗
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 8 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 -rw-------. 1 root root 1318 Aug 9 23:33 snort.log.1502292829 [root@datatest log]# snort -dv -r snort.log.1502292829
进一步,见