Я пытаюсь создать собственное правило Snort, которое выводит файл журнала при каждом запуске. Мое правило таково:
log tcp $HOME_NET any -> any any (msg: "Facebook Accessed"; content:"www.facebook.com"; logto:"facebook.log"; content:"www.facebook.com"; threshold: type limit, track by_dst, count:1, seconds:60;
И я вызываю Snort с помощью следующей команды:
snort -A console -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort
Однако файл facebook.log не создается. Я вижу все файлы snort.log, и предупреждение об одном и том же правиле работает просто отлично. Я дал пользователю snort права на запись в /var/log/snort.
Чего мне не хватает?