Estoy buscando ayuda para usar Snort en Windows 7. Mi experiencia hasta ahora es usar WireShark, por lo que este es un nuevo territorio para mí.
Me gustaría usar Snort para realizar un seguimiento que, una vez que finalice, escribirá la salida en un archivo de registro que luego puedo analizar.
Puedo realizar un seguimiento utilizando:
snort.exe -i 3 -vd
Pero no puedo descifrar para registrar esta salida. Cualquier ayuda sería apreciada.
Aquí hay un extracto de Snort Cookbook . Deberías poder encontrar lo que buscas allí.
Iniciar sesión en un archivo específico
Problema
Desea registrar su salida en un archivo y ubicación específicos.
Solución
Use la opción
-L ttfilename/ttpara iniciar sesión en un archivo específico:[testuser@localhost snort]# snort -L test1También puede especificar una ubicación utilizando
-l ttdirectory/ttOpción de línea de comando:[testuser@localhost snort]# snort -l /snort/log -L test2Discusión
El tráfico de registro en modo binario requiere mucho menos recursos que en otros modos. Los archivos binarios se pueden revisar más tarde usando Snort, TCPDump, Ethereal u otros programas compatibles con registros binarios.
Puede iniciar sesión en un archivo específico especificando el
-L ttfilename/ttOpción de línea de comandos. Esto registra el tráfico de la red a un archivo binario. El siguiente comando registra todo el tráfico en el archivo llamado test1 en el directorio de registro Snort predeterminado:[testuser@localhost snort]# snort -L test1Este comando crea un archivo llamado
test1.1084554709en el %código%. También puede especificar una ubicación utilizando el Opción de línea de comando de/var/log/snort directory:[testuser@localhost snort]# snort -l /snort/log -L test2Este comando crea un archivo llamado
-l ttdirectory/tten eltest1.1084554711directorio.