En primer lugar, la opción -r
está relacionada con el análisis de archivos .pcap . Es por eso que te topaste con este error:
ERROR: Can't initialize DAQ pcap (-1) - unknown file format
Para poder capturar los registros de Snort, debe especificar si irá a syslog o se almacenará en algún archivo deseado. En ambas opciones, será necesario un monitor para leer los últimos registros generados (por ejemplo, el tail(1)
puede ser su amigo en ese momento).
Según la página de manual de snort(8)
:
-l
: establece el registro de salida. De forma predeterminada, se establece en /var/snort/log
;
-i
: establece la interfaz específica para detectar paquetes;
-s
: enviar registro a syslog;
-c
: establece el archivo de configuración que contiene las reglas;
Ejemplo de uso:
Capture los registros de eth0
:
./snort -i eth0 -c /etc/snort/snort.conf -l ./snort-eth0.log
Use tail -f ./snort-eth0.log
en otra consola para ver los registros en tiempo real. Si desea enviar al syslog, simplemente agregue -s
al final de la línea de comandos de snort.
Capture registros de snort ejecutándose en modo Daemon:
Primero, necesitas saber dónde snort está escupiendo los registros. Para hacer esto, verifique lo que se especificó en la bandera -l
. Si no se especifica, recuerde que la ruta predeterminada es /var/snort/log
.
ps -p $(pidof /opt/snort3/bin/snort) -f
...
tail -f /var/snort/log