我已经configuration了一个带端口SPAN的Cisco 3500交换机,并将我的snort节点(fedora 13)插入其中。 我正在运行snort作为一个守护进程,并configuration了一个规则来logging所有的tcpstream量,但我只看到与snort节点的目的地的stream量。 我知道SPAN端口正在工作,并想知道是否有一个特定的选项,我需要启动snort与它来拾取所有的stream量? 还是有我在这里错过的东西?
非常感谢。
根据您的软件包附带的configuration,您可能有一些设置错误。 基本的snort.conf文件应该可以工作,但是您应该检查系统configuration文件/etc/sysconfig/snort ,并确保这两个选项都设置了正常。
你也应该查看系统日志,默认情况下是/var/log/messages ,看看接口是否真的进入混杂模式。 如果是这样,你应该看到这方面的东西
内核:设备eth1进入混杂模式
您还可以从perfmonitor预处理器中获得良好的debugging信息。 你可以在你的snort.conf中启用它
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000
这将从snort应用程序转储一个非常大的逗号描述的性能值列表。 所有倾销价值的完整列表可以在手册中find,或者发货或在snort_manual.pdf您可能有兴趣查看:
来自这些和可能的其他值的值应该有助于确定应用本身是否甚至看到数据包,更不用说处理它们了。