Parece que o snort não grava o log de alerta ao processar um arquivo pcap, mas deve gravar o log de captura de pacote correto (por exemplo, /var/log/snort/snort.log.1502097194
).
Como ele não grava o log de alerta, você pode obter snort para gravar as mensagens de log de alerta no syslog usando o sinalizador -s
(ou log de eventos no Windows usando -E
), por exemplo:
snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf
Você deve então ver alertas no syslog, por exemplo:
$ sudo tail -f /var/log/messages
Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21
No seu caso, é provável que snort.log
não contenha dados porque não foram acionados alertas. Você deve confirmar isso, revisando o syslog ou o relatório de resumo posteriormente, por exemplo:
Action Stats:
Alerts: 1 ( 5.263%)
Logged: 1 ( 5.263%)
Passed: 0 ( 0.000%)