Estoy trabajando con comandos que ya han sido probados para funcionar, pero no están funcionando ahora.
Este es mi archivo de configuración:
alert tcp any any <> any any (msg: "/etc/passwd Payload Found"; content: "/etc/passwd/"; sid: 69;)
Funciona. Genera una alerta.
Uso snort para colocar el archivo de alerta en un directorio de registro
snort -r FRAG3z.pcap -c frag3.conf -dev -l log -d -q
Ejecuto el comando snort, entro en el directorio de registro y mi alerta está ahí. Entonces abro la alerta y queda completamente vacío. Cualquiera tiene alguna idea.