Snort里如何将读取的包记录存到指定的目录下（图文详解）

　　不多说，直接上干货！

　　比如，在/root/log目录下。

[root@datatest ~]#  snort -dve -l /root/log

　　需要注意：

　　1） /log目录需要你自己建立，并修改权限，以保证snort能够写入。即chmod 777 log是最好。

　　2）不要遗漏-l参数，用来指定写入日志位置。

　　3）存到给定的是目录，不是文件。

 

　　执行后系统将会在log目录下产生：

[root@datatest log]# pwd
/root/log
[root@datatest log]# ll
total
-rw-------.  root root  Aug   : snort.log.
[root@datatest log]# 

　　而也会以数据包目的主机的IP地址命名，这个1502291522就是IP的时间数字型。

 　　大家可以用如下命令去查看

[root@datatest log]# pwd
/root/log

[root@datatest log]# snort -dv -r snort.log. 

08/09-23:12:02.730461 192.168.80.68:22 -> 192.168.80.1:50708
TCP TTL:64 TOS:0x10 ID:37828 IpLen:20 DgmLen:140 DF
***AP*** Seq: 0x307B4918 Ack: 0x8291F83A Win: 0x12C TcpLen: 20
5A 60 25 74 24 19 33 70 86 20 DE 88 3E 4C 1B C0 Z`%t$.3p. ..>L..
6A E9 D6 44 04 1C A7 90 2C 93 88 44 1A 10 18 9C j..D....,..D....
0B 81 3E 7F 4C 24 7F 61 22 12 01 4C E3 BB 4B 00 ..>.L$.a"..L..K.
75 B5 3C F4 D5 E8 83 1B 48 6C 70 E1 A1 D8 00 C6 u.<.....Hlp.....
8D C4 A0 37 2A 13 CC E9 44 1F 86 3E 42 49 E1 D7 ...7*...D..>BI..
CF D8 0F BD 0A 89 5C F3 50 DF 8F 5A 43 E7 F0 A0 ......\.P..ZC...
27 8C FC 11 '...

....

　　即，是8月9日，23点12分02秒。

　　192.168.80.68即就是我这台datatest的主机地址。

 

 

 

 

 

　　这里，我扩展下

　　如果只指定了-l命令开关，而没有设置目录名，则snort有时会远程主机的Ip地址作为目录，有时会使用本地主机IP地址作为目录名。这样是一个不好的习惯。

　　则。假设，为了只对本地网络进行，则需要给出本地网络，如

 

 

[root@datatest ~]#  snort -dve -l /root/log  -h 192.168.80.1/24

192.168.80.1/24，这个稍微有点计算机网络基础的朋友都知道，是C类网络IP地址。则表明使得Snort把所有进入C类网络192.168.80.1的所有包的数据链路、TCP/IP以及应用层的数据记录到/root/log目录中。

 　　得到

[root@datatest log]# pwd
/root/log
[root@datatest log]# ll
total
-rw-------.  root root  Aug   : snort.log.
-rw-------.  root root  Aug   : snort.log.
[root@datatest log]# 

　　读取出来打印到屏幕上，看看呗

[root@datatest log]# pwd
/root/log
[root@datatest log]# ll
total
-rw-------.  root root  Aug   : snort.log.
-rw-------.  root root  Aug   : snort.log.
[root@datatest log]# snort -dv -r snort.log. 

 

　　进一步，见

Snort 命令参数详解