Я учусь Snort. Я пытаюсь создать некоторые правила в файлах "local.rules". В local.rules создано следующее правило:
ipvar IP_ADDR [ip1, ip2]
alert tcp $ HOME _NET any -> IP_ADDR any (msg: «Подключение к Домен XYZ "; sid: 1000001; рев .: 1;)
Теперь я начал snort, используя следующую команду:
snort - c snort.conf -l / var / log / snort -A full
После проверки файла предупреждения. Я вижу журналы в каталоге предупреждений в папке "/ var / log / snort". Единственная проблема, с которой я сталкиваюсь, - это если я снова и снова сгенерирую трафик c к одному и тому же IP-адресу. Я больше не вижу записей в этом файле оповещений.
Устранение неполадок: - Активировано одно другое правило "icmp-info.rules" и видел некоторые журналы в этих файлах оповещений. - Также добавлен еще один IP-адрес, относящийся к другому домену, и сгенерирован трафик c к этому IP-адресу, но также. Но я могу найти только одну запись (предупреждение было зарегистрировано для traffi c в отношении только одного IP, уведомление не было зарегистрировано для traffi c в отношении другого IP). - Удалил файл «alert» из расположения «/ var / log / snort» и заново сгенерировал трафик c, поэтому на этот раз была замечена одна запись для одного из IP, но снова повторяющийся трафик c не был замечен.
В чем причина этого? Любая помощь будет оценена