Por favor, verifique as permissões dos arquivos de log e do diretório de log.
possível snort não é capaz de escrever para esse arquivo / diretório
Então eu estava seguindo este guia sobre como instalar o Snort, o Barnyard 2 e similares.
Eu configurei o Snort para que ele rodasse automaticamente, editando o arquivo rc.local:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
Eu reiniciei o computador. O Snort conseguiu executar e detectar o ataque, mas os arquivos de log (incluindo o barnyard2.waldo) permaneceram em branco, mesmo que uma nova entrada de log tenha sido criada para cada ataque.
Não tenho certeza do que deu errado aqui, já que é necessário registrar qualquer ataque e armazená-lo no diretório de log, certo?
Então, tentei alterar o parâmetro para:
/usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
E quando eu verifiquei o arquivo de log, há dois arquivos de log, um em u2 e outro no formato tcpdump, mas ambos estão em branco e são aproximadamente 0 bytes.
Então, eu pensei em rodá-lo no console para ver se funcionaria a partir daí, usando este comando:
/usr/local/snort/bin/snort -A full -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
e, em seguida, verifiquei o arquivo de log para ver se ele registraria o ataque, e ainda não.
Por favor, verifique as permissões dos arquivos de log e do diretório de log.
possível snort não é capaz de escrever para esse arquivo / diretório
Parece que você tem nostamp especificado em seu snort.config. Encontre a linha output unified2: filename snort.log, limit 128 e verifique se ela não se parece com:
output unified2: filename snort.log, limit 128, nostamp
Tags snort