Snort 를 우분투 12.04 LTS에 설치했습니다.. nmap 스캔 공격을 하면 로그기록이 나와야 하는데

로그기록이 나오지 않습니다… 우분투12.04 영문 가이드를 보면서 설치했으며, 에러없이 잘 실행됬다고 생각합니다만… 왜 로그기록이 안남는지 모르겠습니다. nmap 의 명령어는 nmap -v -A x.x.x.x 로 주었습니다… 원래라면… /var/log/snort/alerts 디렉토리가 생성되어야하는데 alerts 가 안 보입니다… 오류가 없고…얼렛파일이 생성되지 않아서 뭐가 잘못됬는지 모르겠습니다… snort 구축 해보신분 답변 부탁드립니다 ㅜ

그리고 어떤 명령어를 한번 실행시켜볼까요???

pstree 명령어로 데몬이 떠 있는지 확인해 보십시오.

일전에 페도라 사용자 모임에 글을 쓰신 분 같은 데 맞는지 모르겠습니다.
글 내용으로 보아 데몬이 떠 있지 않을 확률이 높을 것 같습니다.

답변 내용을 보시면 알겠지만 /etc/init.d/snort 위치에 존재하는 snort 스크립트가
데몬을 시작, 종료를 이행할 수 있는 스크립트라면 업스타트에 등록하기 위해선 아래 명령어를 활용하시면 됩니다.

$ sudo update-rc.d snort defaults
$ sudo service snort start

정상적으로 데몬이 떠 있다면 pstree 항목에 표기가 되고 로그도 정상적으로(설정이 올바르다는 전제하에) 생성될 것 입니다.

데몬이 정상적으로 실행되는지 여부를 확인한 다음 설정 및 기타 작동 여부를 확인 하시기 바랍니다.
페도라 사용자 모임에 질문하신 내용을 보면 데몬이 정상적으로 로딩되지 않았습니다.

참고로 페도라에선 systemctl, chkconfig 가 부팅시 데몬을 업스타트에 등록, 자동으로 실행하며
우분투에선 update-rc.d 로 설정합니다만 chkconfig는 부가적으로 deb 파일을 다운 받아 설치해 주셔도 됩니다.

답변 감사합니다… 제가 페도라에서 스노트설치를 실패해가지고… 우분투로 바꿔서 설치를 했는데 일단 성공은 했습니다… pstree snort 명령어를 입력하니 --snort 라고 뜨더군요. 우분투와 페도라가 달라서 그런지… update-rc.d 명령어는 그런 디렉토리가 없다고 나오는군요…vmware 에서는 nmap 했을 alert 디렉토리에 로그기록이 남았었는데 실제로 데스크탑에 우분투를 설치하고 스노트를 구동하니 안되네요… 똑같이 해줬는데 ㅜㅜ

근데 며칠 후…브엠웨어 스노트도 로그기록에 안남더군요… snort 5일동안 삽질하고있는데… 뭔가…성과가 없습니다 ㅜ

일단 메뉴얼을 확인하니 사용자가 직접 유저와 그릅을 추가하고
/etc/snort/snort.conf 파일에 로그 항목을 설정하고 권한을 주어야 하는 것으로 나오는 군요!

설정을 하시고 아래 사항을 확인해 보십시오.

[quote:2yzfws1y]# sudo groupadd snort

sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

sudo mkdir /var/log/snort

sudo chmod -R 5775 /var/log/snort

sudo chown -R snort:snort /var/log/snort[/quote:2yzfws1y]

위의 과정을 확인 하신 후 데몬을 재시작하여 로그가 남는지 확인해 보십시오.

보다 자세한 사항은 아래 메뉴얼을 확인해 보십시오.
[url:2yzfws1y]https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/065/original/Snort_2.9.7.x_on_Ubuntu_12_and_14.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1421372789&Signature=sZQeOAr1rF27B8s0oPr2R1HNS58%3D[/url:2yzfws1y]

update-rc.d 명령어는 업스타트에 등록하기 위한 명령어입니다.
이는 부팅시 자동으로 데몬을 로딩하기 위해 필요하고 해당 데몬은 정확한 스크립트로 작성이 되어 있어야 합니다.

스크립트는 /etc/init.d 에 위치해 있어야 하므로 디렉토리가 아닙니다.
다시 말해 명령어를 사용했을 때 에러가 나온다면 스크립트가 정확하지 않거나 위치에 파일이 존재하지 않는 것을 의미합니다.

위의 업스타트 등록 과정을 확인하셔야 할 것 같습니다.
메뉴얼을 보다 자세히 열람하시기 바랍니다.

워크맨님 답변감사합니다 하지만 워크맨님께서 링크달아주신거는 에러가 떠용… ㅠ

snort 홈페이지에 가시면 메뉴얼이 있습니다.
Documents 항목이나 다운로드에 가시면 메뉴얼을 찾아 보실 수 있습니다.

[url:26grms7s]https://www.snort.org/documents/[/url:26grms7s]