1. 启动参数"-l logs/":告诉Snort记录包和生成的警告,并将所有内容放入到logs/目录;
2. NIDS模式Output默认选项:-A full(alert);
3. 命令行的日志选项会覆盖配置文件中的输出选项;
4. IP地址列表:alert tcp ![192.168.1.0/24,10.1.1.0/24] any;
5. 同时考虑源和目的方向:log tcp !192.168.1.0/24 any <> 192.168.1.0/24 23;
6. classification包括了3部分:名字、描述和优先级
栗子:
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
alert TCP any any -> any 80 (msg: "EXPLOIT ntpdx overflow";
# dsize: > 128; classtype:attempted-admin; priority:10;
7. 配置 Thresholding和Suppression:有3种类型event_filter,分别是limit,threshold和both.
8. snort.conf 配置snort以daemon在后台运行,而不是前台:config daemon
9.