Snort里如何将读取的包记录存到指定的目录下(图文详解)
?
?
?
不多說,直接上干貨!
比如,在/root/log目錄下。
[root@datatest ~]# snort -dve -l /root/log 需要注意: 1) /log目錄需要你自己建立,并修改權限,以保證snort能夠寫入。即chmod 777 log是最好。 2)不要遺漏-l參數,用來指定寫入日志位置。 3)存到給定的是目錄,不是文件。 執行后系統將會在log目錄下產生: [root@datatest log]# pwd /root/log [root@datatest log]# ll total 4 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 [root@datatest log]#而也會以數據包目的主機的IP地址命名,這個1502291522就是IP的時間數字型。
?
?
?
大家可以用如下命令去查看 [root@datatest log]# pwd /root/log [root@datatest log]# snort -dv -r snort.log.150229152208/09-23:12:02.730461 192.168.80.68:22 -> 192.168.80.1:50708
TCP TTL:64 TOS:0x10 ID:37828 IpLen:20 DgmLen:140 DF
***AP*** Seq: 0x307B4918 Ack: 0x8291F83A Win: 0x12C TcpLen: 20
5A 60 25 74 24 19 33 70 86 20 DE 88 3E 4C 1B C0 Z`%t$.3p. ..>L..
6A E9 D6 44 04 1C A7 90 2C 93 88 44 1A 10 18 9C j..D....,..D....
0B 81 3E 7F 4C 24 7F 61 22 12 01 4C E3 BB 4B 00 ..>.L$.a"..L..K.
75 B5 3C F4 D5 E8 83 1B 48 6C 70 E1 A1 D8 00 C6 u.<.....Hlp.....
8D C4 A0 37 2A 13 CC E9 44 1F 86 3E 42 49 E1 D7 ...7*...D..>BI..
CF D8 0F BD 0A 89 5C F3 50 DF 8F 5A 43 E7 F0 A0 ......\.P..ZC...
27 8C FC 11 '...
?
....
即,是8月9日,23點12分02秒。
192.168.80.68即就是我這臺datatest的主機地址。 這里,我擴展下 如果只指定了-l命令開關,而沒有設置目錄名,則snort有時會遠程主機的Ip地址作為目錄,有時會使用本地主機IP地址作為目錄名。這樣是一個不好的習慣。 則。假設,為了只對本地網絡進行,則需要給出本地網絡,如 [root@datatest ~]# snort -dve -l /root/log -h 192.168.80.1/24 192.168.80.1/24,這個稍微有點計算機網絡基礎的朋友都知道,是C類網絡IP地址。則表明使得Snort把所有進入C類網絡192.168.80.1的所有包的數據鏈路、TCP/IP以及應用層的數據記錄到/root/log目錄中。得到
?
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 8 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 -rw-------. 1 root root 1318 Aug 9 23:33 snort.log.1502292829 [root@datatest log]#?
? 讀取出來打印到屏幕上,看看唄
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 8 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 -rw-------. 1 root root 1318 Aug 9 23:33 snort.log.1502292829 [root@datatest log]# snort -dv -r snort.log.1502292829?
?
?
進一步,見
Snort 命令參數詳解
轉載于:https://www.cnblogs.com/zlslch/p/7336928.html
總結
以上是生活随笔為你收集整理的Snort里如何将读取的包记录存到指定的目录下(图文详解)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Spring接入RabbitMQ
- 下一篇: java框架----commonmark