Snort 命令参数详解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用法:
snort -[options]
选项:
-A
-b 用二进制文件保存网络数据包,以应付高吞吐量的网络。
-B
-c
-D 以后台进程运行snort。如无指定,Alerts将写到/var/log/snort/alert。
-e 显示数据链路层的信息。
-E 保存报警日志为windows事件日志。
-f 激活PCAP行缓冲(line buffering)。
-F
-g
-G
-h
-i
-I 报警时附加上接口信息。
-J
-k
-K
-l
-L
-M 当以非后台模式daemon运行时,保存信息到syslog。
-m
-n
-N 关闭保存日志包功能。
-o 改变应用规则的顺序。从Alert-->Pass-->Log顺序改为Pass-->Alert-->Log,避免了设置大量BPF命令行参数来过滤alert规则。
-O 在ASCII数据包捕获模式下混淆IP地址。
-p 关闭混杂模式。
-P
-q 安静模式,不显示标志和状态报告。
-Q 当在线(in-line)运行时,从iptables/IPQ中读取数据包。
-r
-R
-s 使snort把报警消息发送到syslog,默认的设备是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。
-S
-t
-T 以自检测模式启动Snort。
-u
-U 在时间戳上用UTC时间代替本地时间。
-v 从网络上读出数据包然后显示在你的控制台上。
-V 查看版本号并退出。
-w 如果运行在802.11网中,显示管理帧。
-W *WIN32 ONLY*列出可以网络接口。其中的Index或Device Name都可以用到-i选项中。- X 显示包括数据链路层的原始数据包。
-y 在时间戳里显示年份。
-Z
-?帮助信息。
长参数选项
--logid<0xid>Same as -G
--perfmon-file
--pid-path
--snaplen
--help Same as -?
--dynamic-engine-lib
指定动态监测引擎文件
--dynamic-detection-lib
指定一个动态规则库文件
--dynamic-detection-lib-dir
指定所有动态规则库路径
--dump-dynamic-rules
为所有加载的规则库创建根规则文件
--dynamic-preprocessor-lib
指定动态预处理库文件
--dynamic-preprocessor-lib-dir
指定动态预处理库路径
--dump-dynamic-preproc-genmsg
为所有加载的预处理库生成gen-msg.map文件到路径
--alert-before-pass
在pass之前处理alert, drop, sdrop, or reject. 默认是pass before alert, drop, etc.
--treat-drop-as-alert
Converts drop, and reject rules into alert rules during startup. sdrop rules are not loaded.将drop处理为alert。
--process-all-events
Process all triggered events in group order, per Rule Ordering configuration. Default stops after first group.
--pid-path
Specify the path for Snort's PID file. 为SnortPID文件指定路径。
--create-pidfile
Create PID file, even when not in Daemon mode. 创建PID文件。
--enable-inline-test
Runs snort in "inline test mode". This option cannot be used with -Q. 在线测试模