Я использую macOS Sierra 10.12.3.
$ sw_vers
ProductName: Mac OS X
ProductVersion: 10.12.3
BuildVersion: 16D32
Я установил snort, используя homebrew
$ brew install snort
$ brew ls --versions snort
snort 2.9.9.0
Я запускаю snort с файлом конфигурации user, переключателем -s
syslog и файлом tcpdump.
$ sudo snort -c /etc/snort/snort.conf -s -r tcpdump.pcap
мой файл /etc/snort/snort.conf
имеет следующие параметры вывода:
output alert_syslog: LOG_AUTH LOG_ALERT
Когда я выполняю, создается пустой файл в /var/log/snort/snort.log.1489953549
Я знаю, что мои правила работают, потому что если я выполню snort с режимом предупреждения fast
$ sudo snort -c /etc/snort/snort.conf -A fast -r tcpdump.pcap
создается новый пустой /var/log/snort/snort.log.1489954258
, но также создается файл журнала /var/log/snort/alert
, который содержит правильные выходные данные предупреждений.
Я видел, как другие сталкивались с этой проблемой из-за разрешений, но я не верю это моя проблема, учитывая, что я запускаю snort как sudo
, и он может нормально записывать в журнал alert
.
У меня также нет $NO_PACKET_LOG
, насколько я могу судить. ссылка< /а>
Похоже, что brew установил некоторые файлы конфигурации snort по умолчанию под /usr/local/etc/snort
, но я не думаю, что это влияет на меня, потому что я использую переключатель -c
для предоставления файла конфигурации user.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: я впервые использую snort, поэтому может быть что-то очень очевидное, что я упускаю. Любая помощь очень ценится.