我一直在这个工作太久了。 我相信答案应该是显而易见的,但是…
Snort手册: http ://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf在第39页(根据Acrobat Reader第40页)列出了两个日志输出:“统一输出”和“日志文件输出”我猜测前者是指“统一”的输出模式…这让我觉得答案是“不,snort不能输出检测到端口扫描到系统日志的警报”。
我一直在使用的configuration文件是:
alert tcp any 80 -> any any (msg:"TestTestTest"; content: "testtesttest"; sid:123) preprocessor sfportscan: proto { all } \ memcap { 10000000 } \ scan_type { all } \ sense_level { high } \ logfile { pscan.log } (是的,我知道很基本)。
一个简单的nmap触发输出到pscan.log
任何人都可以确认吗? 或者指出我如何做到这一点?
Snort有许多输出选项。 这在历史上包括系统日志,但即使它不是现在你可以使用稗输出到系统日志(我假设barnyard2也是,但我没有testing过)。
我想我明白你的困惑。 本手册的第96页详细介绍了(警告)日志logging到系统日志,但引用的日志logging用于logging数据包 ,而不是警报。
所以是的,你可以写警报到系统日志,你只是不能将数据包logging到系统日志。