如何让Snort运行多个实例

已于 2024-01-30 17:17:48 修改
阅读量272 收藏 8
点赞数 4
文章标签: linux 运维 服务器 snort
于 2024-01-30 17:15:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcgweb/article/details/135937368
版权

         在《手动构建Snort系统》这门课中我们学习过Snort的原理和源码编译过程,Snort2是个单线程的IDS,但还是有一些同学想知道如何让Snort运行多线程,今天通过几个实验来实现。Snort3的情况我们下期再讨论。

      实验环境我们在CentOS 7VM虚拟机中(Snort已安装配置完成)进行。

准别工作:

#yum install gdb psmisc sysvini-tools -y

我们先查看一下系统总线程数:

#grep 'processor' /proc/cpuinfo | sort -u | wc -l

接着执行下面的命令

# snort -G 1 --pid-path /var/run/snort/p1/ --create-pidfile -c /etc/snort/snort.conf -l /var/log/snort/instance-1/ -i ens33 -q -D
# snort -G 2 --pid-path /var/run/snort/p2/ --create-pidfile -c /etc/snort/snort.conf -l /var/log/snort/instance-2/ -i ens33 -q -D

进程启动时间

[root@localhost ~]# ps -ef |grep snort

root       1823      1  0 04:30 ?        00:00:00 snort -G 1 --pid-path /var/run/snort/p1/ --create-pidfile -c /etc/snort/snort.conf -l /var/log/snort/instance-1/ -i ens33 -q -D

root       1898   1830  0 04:39 pts/1    00:00:00 grep --color=auto snort

[root@localhost ~]# ps -eo pid,lstart,etime | grep 1823

  1823 Mon Mar 14 04:30:46 2022       08:27

注释:taskset 查询或设置进程(线程)绑定CPU。通过 taskset 命令可将某个进程与某个CPU核心绑定,使得其仅在与之绑定的CPU核心上运行。

样方法启动第二个实例

snort -G 1 -A fast -U -b -d -e -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort/ -i ens33

snort -G 2 -A fast -U -b -d -e -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort/ -i ens33

检验成果:

我们用pstree –apnh |grep snort命令查看

 好了这个简单的多线程实验就完成了,大家在实验过程中如有疑问可以留言。

2023年度 51CTO杰出讲师评选开始啦,期待大家投上宝贵一票! 李晨光的网络课堂,李晨光 网络管理,Linux 大讲堂 - 51CTO学堂

OpenSource SIM
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Snort运行流程图(gperftools结果)
06-29
Snort运行流程图(gperftools结果),整体了解snort运行机制。
Snort入门(一)
GGGYL111的博客
01-12 1491
Snort用户手册 1 OverView Snort有三种模式 Sniffer mode (从网络上读取数据包并显示) Packet Logger mode (将数据包记录到磁盘) NIDS mode(对网络流量进行检测和分析,最复杂且可配置的模式) 简单介绍一下三种模式: 1.1 Sniffer Mode 使用以下代码 snort -v ...
snort 日志 mysql_Snort日志输出插件详解
weixin_42489917的博客
02-22 1059
Snort日志输出插件详解Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用。Snort的日志一般位于:/var/log/snort/目录下。可以通过修改配置文件来设置Snort的报警形式。基于文本的格式、Libpcap格式和数据库是Snort最重要的三种报警形式。本文主要对每种报警形式及其配置进行介绍。1工作模式及输出插件Snort拥有3种工作模式,分别为...
【网络安全实验】snort实现高级IDS
weixin_52553215的博客
02-01 983
加深理解:我们说理解/etc/snort/sid-msg.map这个文件的意义非常重要,实体signature表示的是报警信息列表规范化,即将报警事件信息按规则编号(sig_id)、规则描述(sig_name)、规则分类编号(sig_class_id)规则优先级(sig_priority)规则版本号(sig_rev),规则在snort中的内部编号(sig_sid;根据上面命令执行结果会在/var/log/snort/目录下生成报警文件,大家可以看到报警文件格式都是snort.log.时间戳。
Snort入侵检测系统简介
热门推荐
bobozai86的博客
07-26 2万+
原文源自:https://www.jianshu.com/p/113345bbf2f7 前言        防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 Snort IDS概述         Snort IDS(入侵检测系统)是一个强大的网络入侵检...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
linux 入侵检测 snort安装实例
01-07
这是我自己整理的入侵检测系统配置文档。确保可以正确安装
[C++] Snort运行模式介绍
10-14
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
linux交叉编译snort到cavium
11-24
压缩包内部包含7个软件:libdnet snort daq pcap pcre zlib openssl,每个交叉编译的步骤。文档只是记录自己编译的过程,基本编译按照模式来不会出问题,依赖库需要自己移到开发板上。可自行考虑连接静态库
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 567
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux——web服务配置
Xinan_____的博客
04-23 1043
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
linux18:进程等待
m0_73919066的博客
04-20 1088
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 925
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
Linux之C编程入门
qwertf123的博客
04-21 840
Linux之C编程入门
Linux:Win10平台上,用VMware安装Centos7.x及系统初始化关键的相关配置(分步骤操作,详细,一篇足以)
Brave_heart4pzj的博客
04-22 172
Linux
Linux服务器硬件及RAID配置
JIUYINGQAQ的博客
04-22 1523
RAID 0又称为条带化(Stripe),代表了所有RAID级别中最高的存储性能。通过建立RAID 0,原先顺序的数据请求被分散到所有的三块硬盘中同时执行。但由于其没有数据冗余,无法保护数据的安全性,只能适用于I/O速率要求高,但数据安全性要求低的场合。RAID 0数据存储原理。
Linux】学习记录_16_POSIX互斥锁
easy_Ye的博客
04-22 479
而如果互斥锁处于闭锁状态,则根据互斥锁的类型做对应的处理,默认情况下是快速互斥锁, 获取该互斥锁的线程将无法获得互斥锁,线程将被阻塞,直到互斥锁被释放,当然,如果是同一个线程重复获取互斥锁,也会导致死锁结果。互斥锁处于开锁状态时,线程才能获取互斥锁,线程持有某个互斥锁的时, 其他线程就无法获取这个互斥锁,需等到持有互斥锁的线程进行释放后,其他线程才能获取成功, 线程通过互斥锁获取函数来获取互斥锁的所有权。Linux系统中的锁机制是一个比较广泛的概念,而且锁的种类很多,包括互斥锁,文件锁,读写锁等等。
Linux——权限
2303_79015671的博客
04-26 904
带你了解Linux的权限
snort可以在cmd下运行
06-01
是的,Snort 可以在 Windows 命令提示符(cmd)下运行,只需在命令提示符中输入 Snort 的可执行文件路径和参数即可。 例如,如果您的 Snort 可执行文件位于 C:\Program Files\Snort 目录中,您可以按照以下方式在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值