スパニングインターフェースのSnortモニタリング

パッケージに同梱されている構成によっては、設定が間違っている場合があります。基本のsnort.confファイルは機能するはずですが、システム構成ファイル/etc/sysconfig/snortを調べて、これら2つのオプションが正しく設定されていることを確認する必要があります。

• インターフェース
• BPF

また、システムログ（デフォルトでは/var/log/messages）を調べて、インターフェイスが実際に無差別モードに入っているかどうかを確認する必要があります。もしそうなら、あなたはこれらの線に沿って何かを見るはずです

カーネル：デバイスeth1が無差別モードに入りました

また、perfmonitorプリプロセッサから適切なデバッグ情報を取得することもできます。 snort.confで次のようなものを使用して有効にすることができます

preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000

これにより、snortアプリケーションからのパフォーマンス値の[〜＃〜] very [〜＃〜]の大きなコンマで区切られたリストがダンプされます。ダンプされたすべての値の完全なリストは、出荷されたマニュアルまたは snort_manual.pdf にあります。以下を参照してください。

• 受信したパケットの総数
• メガビット/秒（applayer）
• TCPセッションの初期化

それらからの値、および場合によっては他の値は、アプリケーション自体がパケットを認識しているかどうか、さらにはパケットを処理しているかどうかを判断するのに役立ちます。