Snort里如何将读取的包记录存到指定的目录下(图文详解)
不多说,直接上干货!
比如,在/root/log目录下。
[root@datatest ~]# snort -dve -l /root/log
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 4 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 [root@datatest log]#
而也会以数据包目的主机的IP地址命名,这个1502291522就是IP的时间数字型。
[root@datatest log]# pwd
/root/log
[root@datatest log]# snort -dv -r snort.log.1502291522
08/09-23:12:02.730461 192.168.80.68:22 -> 192.168.80.1:50708
TCP TTL:64 TOS:0x10 ID:37828 IpLen:20 DgmLen:140 DF
***AP*** Seq: 0x307B4918 Ack: 0x8291F83A Win: 0x12C TcpLen: 20
5A 60 25 74 24 19 33 70 86 20 DE 88 3E 4C 1B C0 Z`%t$.3p. ..>L..
6A E9 D6 44 04 1C A7 90 2C 93 88 44 1A 10 18 9C j..D....,..D....
0B 81 3E 7F 4C 24 7F 61 22 12 01 4C E3 BB 4B 00 ..>.L$.a"..L..K.
75 B5 3C F4 D5 E8 83 1B 48 6C 70 E1 A1 D8 00 C6 u.<.....Hlp.....
8D C4 A0 37 2A 13 CC E9 44 1F 86 3E 42 49 E1 D7 ...7*...D..>BI..
CF D8 0F BD 0A 89 5C F3 50 DF 8F 5A 43 E7 F0 A0 ......\.P..ZC...
27 8C FC 11 '...
....
即,是8月9日,23点12分02秒。
[root@datatest ~]# snort -dve -l /root/log -h 192.168.80.1/24
192.168.80.1/24,这个稍微有点计算机网络基础的朋友都知道,是C类网络IP地址。则表明使得Snort把所有进入C类网络192.168.80.1的所有包的数据链路、TCP/IP以及应用层的数据记录到/root/log目录中。
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 8 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 -rw-------. 1 root root 1318 Aug 9 23:33 snort.log.1502292829 [root@datatest log]#
读取出来打印到屏幕上,看看呗
[root@datatest log]# pwd /root/log [root@datatest log]# ll total 8 -rw-------. 1 root root 2826 Aug 9 23:12 snort.log.1502291522 -rw-------. 1 root root 1318 Aug 9 23:33 snort.log.1502292829 [root@datatest log]# snort -dv -r snort.log.1502292829
进一步,见
作者:大数据和人工智能躺过的坑
出处:http://www.cnblogs.com/zlslch/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接,否则保留追究法律责任的权利。
如果您认为这篇文章还不错或者有所收获,您可以通过右边的“打赏”功能 打赏我一杯咖啡【物质支持】,也可以点击右下角的【好文要顶】按钮【精神支持】,因为这两种支持都是我继续写作,分享的最大动力!
浙公网安备 33010602011771号