snort的输出是空白，到底哪里出错了？

lnx

开始设为log,后设为alert，但都一样，不管用。
不知道白金你的有没有配置好ACID正常输出？

platinum

呵呵，我的情形和你一样啊
现在只有
UDP的3个SNMP协议的alert
TCP的2个403错误的alert
还有几个ICMP的alert

lnx

呵呵，日志里面终于有内容了
不过我这二天都没动它（就将IP改为公网IP），就把它丢在那里；所以我也不明白为什么。

platinum

我的也有数据了，但是大多数都是MSN、BAIDU、GOOGLE的robots

abel

有些 snort.conf 中的 rule 要調一調,根據自己的環境來調整
像我們都跑 Linux/Sun 的環境,沒有其他的, MSN 這種 rule
就完全不需要,至於像 icmp 這些幾乎也都沒有用處,不然你的
sensor/target (就是 snort) 一多,每天看都看不完(不看你裝這個做什麼)
所以,我們的 snort.conf 中的 alert rule 都壓在 50 條左右,
只記錄必要的都西就好.

另外,snort 也可以做 sniffer 工具,
若搭 Dynamic rule ,可以做到更 smart 的 sniffer

此外,platinum 兄對 mrtg 很熟悉,也可以透過 mrtg 將 alert 的
狀況畫成 mrtg 的圖表哦,只要把 snort 的 db 結構看一下就知道怎麼取
用了

platinum

abel兄才算厉害啊，看了你对CU各版面的统计，我的MRTG只是“小玩闹”而已，RRDTOOL很不错，也很难

向abel兄学习

lnx

原帖由 "abel" 发表：
有些 snort.conf 中的 rule 要調一調,根據自己的環境來調整
像我們都跑 Linux/Sun 的環境,沒有其他的, MSN 這種 rule
就完全不需要,至於像 icmp 這些幾乎也都沒有用處,不然你的
sensor/target (就是 snort) 一多..........

谢谢提醒
我开始还想着怎么我的数据不够人家的多呢

lann

大家看看我的snort 究竟有什么问题啊 谢谢啦

[root@asd root]# snort -c /etc/snort/snort.conf  
Running in IDS mode
Log directory = /var/log/snort

Initializing Network Interface eth0

        --== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
,-----------[Flow Config]----------------------
| Stats Interval:  0
| Hash Method:     2
| Memcap:          10485760
| Rows  :          4099
| Overhead Bytes:  16400(%0.16)
`----------------------------------------------
No arguments to frag2 directive, setting defaults to:
    Fragment timeout: 60 seconds
    Fragment memory cap: 4194304 bytes
    Fragment min_ttl:   0
    Fragment ttl_limit: 5
    Fragment Problems: 0
    Self preservation threshold: 500
    Self preservation period: 90
    Suspend threshold: 1000
    Suspend period: 30
Stream4 config:
    Stateful inspection: ACTIVE
    Session statistics: INACTIVE
    Session timeout: 30 seconds
    Session memory cap: 8388608 bytes
    State alerts: INACTIVE
    Evasion alerts: INACTIVE
    Scan alerts: INACTIVE
    Log Flushed Streams: INACTIVE
    MinTTL: 1
    TTL Limit: 5
    Async Link: 0
    State Protection: 0
    Self preservation threshold: 50
    Self preservation period: 90
    Suspend threshold: 200
    Suspend period: 30
Stream4_reassemble config:
    Server reassembly: INACTIVE
    Client reassembly: ACTIVE
    Reassembler alerts: ACTIVE
    Zero out flushed packets: INACTIVE
    flush_data_diff_size: 500
    Ports: 21 23 25 53 80 110 111 143 513 1433
    Emergency Ports: 21 23 25 53 80 110 111 143 513 1433
ERROR: /etc/snort/snort.conf(287) =>; Invalid file name for IIS Unicode Map file.
Fatal Error, Quitting..

abel

ERROR: /etc/snort/snort.conf(287) =>; Invalid file name for IIS Unicode Map file.
Fatal Error, Quitting..

如果上述的英文對您很難,基本上會建議您先學好語言

你去看你的 snort.conf 中的第287行,裏面有提到一個檔案,把那個檔案找出來
並修正一下路徑

raymax

请问上面几位兄台，到底ACID里的数据后来怎么出现的，为什么刚开始没有？
我也遇到这种情况，不是没有，是只有一、二条，不知为何？请指教。