このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

Snortのログ出力 このメッセージに返信する
日時: 2014/11/13(Thu) 20:24
名前: おれおー
URL:
Snort2.9.5.6を使って色々こちゃこちゃやっていますが、どうにも上手くいかないことがあります。

alert icmp any any -> any any (msg:"ICMP Test"; sid:100000; rev:1; logto:"/var/log/snort/icmp.log";)

alert icmp any any -> any any (msg:"ICMP Test2"; sid:100001; rev:1; logto:"icmp.log";)

上記のルールでSnortを起動し、外部ホストからpingを行いましたが、/var/log/snort/icmp.logにログは出力されず、/var/log/snort/alertと/var/log/snort/snort.log.******** にログが出力されました。

logto:"ファイル名"; で別のファイルにログが出力されるはずですが、何か原因があるのでしょうか?

マニュアルにはバイナリ形式でログ出力する場合はlogtoオプションが使えないと書いていましたが、バイナリ形式は使っておらず、/etc/snort/snort.confでは"output alert_fast: alert"だけを有効にしています。

Snortの起動コマンドは、"/usr/sbin/snort -D -i eth0 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort"です。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -