跨介面的 Snort 監控

我已經為 Cisco 3500 交換機配置了一個埠 SPAN，並將我的 snort 節點 (fedora 13) 插入其中。我將 snort 作為守護程序執行，並配置了一條規則來記錄所有 tcp 流量，但我只看到以 snort 節點為目的地的流量。我知道 SPAN 埠正在工作，並想知道是否有一個特定的選項我需要啟動 snort 以使其接收所有流量？或者我在這裡錯過了什麼？

非常感謝。

根據您的包裹附帶的配置，您可能有一些設置錯誤。基本的 snort.conf 文件應該可以工作，但是您應該檢查系統配置文件/etc/sysconfig/snort並確保這兩個選項設置合理。

• 界面
• BPF

此外，您還應該查看/var/log/messages預設情況下的系統日誌，以查看界面是否實際進入混雜模式。如果是這樣，你應該看到這些方面的東西

核心：設備 eth1 進入混雜模式

您還可以從 perfmonitor 預處理器獲得良好的調試資訊。您可以在您的 snort.conf 中啟用它，例如

preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000

這將從 snort 應用程序中轉儲一個非常大的逗號描述的性能值列表。可以在手冊中找到所有轉儲值的完整列表，無論是發貨還是在snort_manual.pdf 您可能有興趣查看：

• 收到的總數據包
• Mbits/Sec（應用程序）
• TCP 會話初始化

這些值，可能還有其他值，應該有助於確定應用程序本身是否看到了數據包，更不用說處理它們了。

引用自：https://serverfault.com/questions/213126