不多说,直接上干货!
如果网络速度很快,或者想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。如tcpdump格式或者pcap格式。
这里,我们不需指定本地网络了,因为所以的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项,因为数据包的所有内容都会被记录到日志文件中。
[root@datatest ~]# snort -l /root/log -b
Running in packet logging mode --== Initializing Snort ==--
Initializing Output Plugins!
Log directory = /root/log
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Decoding Ethernet
得到
大家,可以打印到屏幕上来看看。
[root@datatest log]# pwd
/root/log
[root@datatest log]# ll
total
-rw-------. root root Aug : snort.log.
-rw-------. root root Aug : snort.log.
-rw-------. root root Aug : snort.log.
[root@datatest log]# snort -dev -r snort.log.
进一步,见