我这边编写了magic对应的指定文件规则,但是运行的时候发现储存的文件中包含我未指定的数据文件:

在rules下边看的时候,发现有sid-msg.map文件,上网了解下这个文件是干啥的。。

下边文章来自简书:http://www.jianshu.com/p/6de14a787868     ,虽然说得是snort的但是suricata中,也有他,也包含了barnyard2;

Snort sid-msg.map文件概述

小天是我见过最单纯善良的人 关注

2015.09.06 15:53* 字数 493 阅读 540评论 0喜欢 0

0x00来源

  解压自snortrules-snapshot-2975.tar.gz,来自于<解压目录>/etc/sid-msg.map,配置Snort时将此文件放在/etc/snort 目录下,具体的请看 CentOS6.6下基于snort+barnyard2+base的入侵检测系统的搭建

0x01用途

  通过名字可以看出他是sid和msg的一张map,也就是sid和msg一一对应的一张表,他里面默认写好了2975中的对应情况,用户自定义规则中的msg和sid如果想要对应起来,同样也要写入此文件中。
  如果没有写入,举个例子,

自定义规则

BASE告警

通过上面这两张图我们看到,在BASE告警这张截图中,<特征>下面写的是Snort Alert[gid,sid,rev],并不是我们想要的msg中的内容。这时候我们就需要改一下sid-msg.map文件了,将这个对应关系添加上。

0x02实施

自定义规则

将对应关系添加到sid-msg.map

  然后重启barnyard2和snort

成功

0x03遇到的问题

  一直没有成功的原因是我只重启了snort,并没有想到要重启barnyard2,但是,通过barnyard2的配置文件barnyard2.conf中可以看到

设置sid-map路径

而snort.conf中并没有设置这个路径,所以重启barnyard2才是符合逻辑的。

0x04 9月16日补充内容

reference这个关键词,虽说,没什么关键性的作用,但是我搞了两天都没把他搞定。
问题现象:

reference

上面一条是我自己写的规则,下面一条是snort本身的规则,我也在规则中使用reference关键词了,但是并没有什么用,后来发现了这个其实和msg是一样的,在规则中修改并没有什么作用,必须在sid-msg.map中添加才行。

sid-msg.map

最后感谢µ°²×°³ÌÐò°²×°³小盆友。

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

sid-msg.map文件概述的更多相关文章

  1. ORACLE初始化参数文件概述

    ORACLE初始化参数文件概述 在9i之前,参数文件只有一种,它是文本格式的,称为pfile,在9i及以后的版本中,新增了服务器参数文件,称为spfile,它是二进制格式的.这两种参数文件都是用来存储 ...

  2. .edmx 文件概述(实体框架)

    (一) 认识.edmx文件结构 参考资料: .edmx 文件概述(实体框架) Entity Framework 全面教程详解(转) Entity Framework 教程 Entity Framewo ...

  3. System.map文件【转】

    转自:http://blog.csdn.net/david104/article/details/7194185 当运行GNU链接器gld(ld)时若使用了"-M"选项,或者使用n ...

  4. KEIL MDK输出map文件分析

    一.文件分析流程 1.第一部分:Section Cross References 主要是各个源文件生成的模块之间相互引用的关系. stm32f10x.o(STACK) refers (Special) ...

  5. .map文件的作用以及在chorme下会报错找不到jquery-1.10.2.min.map文件,404 的原因

    source map文件是js文件压缩后,文件的变量名替换对应.变量所在位置等元信息数据文件,一般这种文件和min.js主文件放在同一个目录下. 比如压缩后原变量是map,压缩后通过变量替换规则可能会 ...

  6. Delphi通过Map文件查找内存地址出错代码所在行

    一 什么是MAP文件 什么是 MAP 文件?简单地讲, MAP 文件是程序的全局符号.源文件和代码行号信息的唯一的文本表示方法,它可以在任何地方.任何时候使用,不需要有额外的程序进行支持.而且,这是唯 ...

  7. VS2005(vs2008,vs2010)使用map文件查找程序崩溃原因

    VS 2005使用map文件查找程序崩溃原因 一般程序崩溃可以通过debug,找到程序在那一行代码崩溃了,最近编一个多线程的程序,都不知道在那发生错误,多线程并发,又不好单行调试,终于找到一个比较好的 ...

  8. 如何定位Release 版本中程序崩溃的位置 ---利用map文件 拦截windows崩溃函数

    1       案例描述 作为Windows程序员,平时最担心见到的事情可能就是程序发生了崩溃(异常),这时Windows会提示该程序执行了非法操作,即将关闭.请与您的供应商联系.呵呵,这句微软的“名 ...

  9. 问题-[Delphi]通过Map文件查找内存地址出错代码所在行

     一 什么是MAP文件       什么是 MAP 文件?简单地讲, MAP 文件是程序的全局符号.源文件和代码行号信息的唯一的文本表示方法,它可以在任何地方.任何时候使用,不需要有额外的程序进行支持 ...

随机推荐

  1. MySQL配置版下载安装、配置与使用(win7x64)

    http://jingyan.baidu.com/article/597035521d5de28fc00740e6.html

  2. zookeeper基础知识整理

    http://blog.csdn.net/pelick/article/details/7269670 http://zookeeper.apache.org/doc/trunk/javaExampl ...

  3. Cognos11中通过URL访问report的设置

    1:以往的cognos版本中在报表的属性中可以找到 url的属性,稍加修改就可以通过URL进行访问了 2:Cognos11中找了半天也没有报表URL这个属性,但是IBM官方也给出了解决方案 Answe ...

  4. CHtmlEditCtrl(1) : Use CHtmlEditCtrl to Create a Simple HTML Editor

    I needed a lightweight HTML editor to generate "rich text" emails, so I decided to explore ...

  5. 发布web应用程序是出现unsafe code

    找到了解决办法 解决方法参照: https://stackoverflow.com/questions/16567197/publish-web-application-with-unsafe-cod ...

  6. mysql生成不重复随机数(unique number generation)

    转自:http://blog.csdn.net/dreamer2020/article/details/52049629 问题来源 业务中有时会遇到要生成不重复随机数的情况,例如,新生成一个商品编号. ...

  7. 如何让windows更高效?

    首先解释一下个标题: "让windows更高效,既指让windows更友好更优化,也指可以让使用windows来工作或学习的人更高效的工作学习." 解释下本文的动机: 指导我自己或 ...

  8. Log4j 2.0在开发中的高级使用具体解释—介绍篇(一)

    Log4j最终迎来了首个apache版本号.Log4j 2 是 Log4j 的升级版本号,该版本号比起其前任来说有着显著的改进,包括非常多在 Logback 中的改进以及Logback 架构中存在的问 ...

  9. C语言代码复习笔记:第二章

    输出星星 #include <stdio.h> void printStart( int num ) { ) { printf("*"); }; } int main( ...

  10. C#--串行化与反串行化

    串行化是指存储和获取磁盘文件.内存或其他地方中的对象.在串行化时,所有的实例数据都保存到存储介质上,在取消串行化时,对象会被还原,且不能与其原实例区别开来.只需给类添加Serializable属性,就 ...