var RULE_PATH c:\snort\rules
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\preproc_rules
dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll
#dynamicdetection directory /usr………..
output alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT
8. Disable "normalize_*"
#preprocessor normalize+ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6
9. 開啟cmd視窗(以系統管理員身分執行),執行C:\Snort\bin\snort -W,取得網路卡編號
10. 執行C:\Snort\bin\snort -v -iX (X = 網路卡編號),成功後關閉此視窗
11. 執行C:\Snort\bin\snort -iX -s -l C:\Snort\log\ -c C:\Snort\etc\snort.conf -T,正常是不會有錯誤,應該會看到successfully並且正常exit,除非snort.conf設定錯誤。
12. 打開kiwi syslog server console,按下鍵盤[Ctrl]+T,測試是否有log產生。
13. 建個snort_start.bat檔,內容
C:\Snort\bin\snort -iX -s -l C:\Snort\log\ -c C:\Snort\etc\snort.conf
14. 建立測試規則,編輯C:\Snort\rules\icmp.rules,新增規則如下
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3)
15. 執行snort_start.bat,kiwi syslog server 視窗就會看到event囉。
沒有留言:
張貼留言