SNort : max_queue를 1로 설정합니다.

Question

나는 snort를 사용하고 있습니다. 패킷 당 하나의 규칙 만 일치한다고보고하고 싶습니다. 마찬가지로 패킷이 여러 규칙과 일치하는 경우 일치하는 규칙을 하나만보고하거나 기록해야합니다. 지금 내가 이해할 수있는 점은 snort.conf 파일을 변경해야한다는 것입니다. 나는

config event_queue: max_queue 1 log 1 order_events content_length 

와 snort.conf 파일

config event_queue: max_queue 8 log 3 order_events content_length 

이 라인을 변경하고이 파일을 저장합니다.

하지만 이제 pcap 파일을 실행할 때 다시 단일 패킷에 대한 여러 일치를보고합니다.

이 작업을 수행하려면 무엇을해야합니까? snort.conf 파일에 변경 한 후

I했던이 : 그것은 나에게 오류를 준

snort restart 

하지만 :

Can't see DAQ BPF filter to 'restart' 

Answer 1

구성 :

설정 event_queue : max_queue 1 log 1

이 모두 필요합니다. 패킷/스트림 당 2 개 이상의 이벤트가 계속 로깅되는 경우 snort가 새 구성으로 다시 시작되지 않았습니다.

"snort restart"는 snort를 다시 시작하는 올바른 방법이 아닙니다. 데몬 모드에서 snort를 실행하고 있습니까? 실행중인 OS에 따라 데몬을 다시 시작하거나 snort 프로세스를 종료하고 다시 시작하여 새로운 snort.conf 파일을 선택할 수 있도록해야합니다. 일반적으로 당신은 단지 명령을 실행할 수있는 흡입 데몬을 다시 시작합니다 :

sudo는이

를 다시 시작 /etc/init.d/snortd 그러나 다시, 이것은 OS에 따라 달라집니다.

데몬 모드에서 snort를 실행하지 않으면 프로세스를 종료하고 다시 시작하면됩니다. snort의 PID를 얻기 위해 "pgrep snort"를 실행할 수 있습니다. snort를 시작한 옵션을 기억하지 못하면 "ps auxwww | grep snort"를 실행하면 snort를 시작하는 데 사용한 명령이 반환됩니다. 그런 다음 pid를 종료하고 동일한 명령을 다시 실행할 수 있습니다. 희망이 도움이됩니다.