<div style="font-size:10pt; font-family:Gulim;"><div style="font-family: Gulim; font-size: 10pt;">um.. i edit conf file and local rule however, Like symptoms before setting it<br>not working logger! unified2 file size is 0  </div><div style="font-family: Gulim; font-size: 10pt;">please help me... <br><br>------------------snort.lua--------------------------<br>---------------------------------------------------------------------------<br>-- Snort++ configuration<br>---------------------------------------------------------------------------<br><br>---------------------------------------------------------------------------<br>-- setup environment<br>---------------------------------------------------------------------------<br>-- given:<br>-- export DIR=/install/path<br>-- configure --prefix=$DIR<br>-- make install<br>--<br>-- then:<br>-- export LUA_PATH=$DIR/include/snort/lua/?.lua\;\;<br>-- export SNORT_LUA_PATH=$DIR/conf/<br>---------------------------------------------------------------------------<br><br>---------------------------------------------------------------------------<br>-- setup the basics<br>---------------------------------------------------------------------------<br><br>require('snort_config')  -- for loading<br><br>-- Setup the network addresses you are protecting<br>HOME_NET = '192.168.223.0/24'<br><br>-- Set up the external network addresses.<br>-- (leave as "any" in most situations)<br>EXTERNAL_NET = '!' .. HOME_NET<br><br>conf_dir = os.getenv('SNORT_LUA_PATH')<br><br>if ( not conf_dir ) then<br>    conf_dir = '.'<br>end<br><br>dofile(conf_dir .. '/snort_defaults.lua')<br>dofile(conf_dir .. '/classification.lua')<br>dofile(conf_dir .. '/reference.lua')<br><br>---------------------------------------------------------------------------<br>-- configure modules<br>---------------------------------------------------------------------------<br>--<br>-- mod = { } uses internal defaults<br>-- you can see them with snort --help-module mod<br>-- comment or delete to disable mod functionality<br>--<br>-- you can also use default_ftp_server and default_wizard<br>---------------------------------------------------------------------------<br><br>--pcap file<br>--log_pcap = { }<br>--log_pcap.limit = 0<br>--log_pcap.units = B<br>-- uncomment ppm if you built with --enable-ppm<br>ppm = { }<br><br>-- uncomment profile if you built with --enable-perfprofile<br>--profile = { }<br><br>-- uncomment normalizer if you are inline or not --pedantic<br>--normalizer = { }<br><br>stream = { }<br>stream_ip = { }<br>stream_icmp = { }<br>stream_tcp = { }<br>stream_udp = { }<br><br>perf_monitor = { }<br>perf_monitor.console = true<br>perf_monitor.file = false<br>perf_monitor.seconds = 1<br>perf_monitor.packets = 1<br><br><br>arp_spoof = { }<br>back_orifice = { }<br>rpc_decode = { }<br>port_scan = { }<br>telnet = { }<br><br>-- use http_inspect or new_http_inspect (incomplete)<br>http_inspect = { }<br>--new_http_inspect = { }<br><br>ftp_server = default_ftp_server<br>ftp_client = { }<br>ftp_data = { }<br><br>wizard = default_wizard<br><br><br><strong>--unified2 & output<br>alert_fast = { }<br>unified2 = { }<br>unified2.limit = 0<br>unified2.units = B<br>unified2.nostamp = false<br>unified2.mpls_event_types = true<br>unified2.vlan_event_types = true</strong><br><br>output = { }<br>output.verbose = true<br>output.quiet = false<br>output.dump_payload = true<br>output.dump_payload_verbose =ture<br><br>---------------------command--------------------------------------<br><br><strong>[root@...196... ~]# snort -i eno16777736 -c /usr/local/etc/snort/snort.lua -R /etc/snort/rules -l /var/log/snort/ -K text -d -v -e</strong><br><br>--------------------------------------------------<br>o")~   Snort++ 3.0.0-a1-130<br>--------------------------------------------------<br>Loading /usr/local/etc/snort/snort.lua:<br>        back_orifice<br>        classifications<br>        output<br>        alert_fast<br>        stream_tcp<br>        ftp_data<br>        unified2<br>        ftp_server<br>        http_inspect<br>        telnet<br>        port_scan<br>        rpc_decode<br>        arp_spoof<br>        perf_monitor<br>        stream_ip<br>        stream<br>        ftp_client<br>        stream_icmp<br>        references<br>        stream_udp<br>        wizard<br>Finished /usr/local/etc/snort/snort.lua.<br>Loading rules:<br>Loading /etc/snort/rules:<br>Finished /etc/snort/rules.<br>Finished rules.<br>Wizard<br>back_orifice<br>arpspoof configured<br>Stream5 TCP Policy config:<br>    Reassembly Policy: LAST<br>    Timeout: 30 seconds<br>    Maximum number of bytes to queue per session: 1048576<br>    Maximum number of segs to queue per session: 2621<br>    Require 3-Way Handshake: NO<br>Stream IP config:<br>    Timeout: 60 seconds<br>Defrag engine config:<br>    engine-based policy: LINUX<br>    Fragment timeout: 60 seconds<br>    Fragment min_ttl:   1<br>    Max frags: 8192<br>    Max overlaps:     0<br>    Min fragment Length:     0<br>Stream5 ICMP config:<br>    Timeout: 30 seconds<br>Stream5 UDP config:<br>    Timeout: 30 seconds<br>    Ignore Any -> Any Rules: NO<br>ftp_client:<br>    Check for Bounce Attacks: OFF<br>    Check for Telnet Cmds: OFF<br>    Ignore Telnet Cmd Operations: OFF<br>    Max Response Length: -1<br>ftp_server:<br>    Check for Telnet Cmds: ON<br>    Ignore Telnet Cmd Operations: ON<br>    Identify open data channels: YES<br>    Check for Encrypted Traffic: ON<br>    Continue to check encrypted data: NO<br>HttpInspect Config:<br>    GLOBAL CONFIG<br>      Detect Proxy Usage:       NO<br>      IIS Unicode Map Filename: (null)<br>      IIS Unicode Map Codepage: 1252<br>      Memcap used for logging URI and Hostname: 150994944<br>      Max Gzip Memory: 838860<br>      Max Gzip sessions: 5825<br>      Gzip Compress Depth: 65535<br>      Gzip Decompress Depth: 65535<br>    DEFAULT SERVER CONFIG:<br>      Server profile: All<br>      Server Flow Depth: 0<br>      Client Flow Depth: 0<br>      Max Chunk Length: 500000<br>      Small Chunk Length Evasion: chunk size <= 10, threshold >= 5 times<br>      Max Header Field Length: 750<br>      Max Number Header Fields: 100<br>      Max Number of WhiteSpaces allowed with header folding: 200<br>      Inspect Pipeline Requests: YES<br>      URI Discovery Strict Mode: NO<br>      Allow Proxy Usage: NO<br>      Oversize Dir Length: 500<br>      Only inspect URI: NO<br>      Normalize HTTP Headers: NO<br>      Inspect HTTP Cookies: YES<br>      Inspect HTTP Responses: YES<br>      Unlimited decompression of gzip data from responses: YES<br>      Normalize Javascripts in HTTP Responses: YES<br>      Max Number of WhiteSpaces allowed with Javascript Obfuscation in HTTP responses: 200<br>      Normalize HTTP Cookies: NO<br>      Enable XFF and True Client IP: NO<br>      Extended ASCII code support in URI: NO<br>      Log HTTP URI data: NO<br>      Log HTTP Hostname data: NO<br>      Extract Gzip from responses: YES<br>      Ascii: OFF<br>      Double Decoding: OFF<br>      %U Encoding: ON<br>      Bare Byte: OFF<br>      UTF 8: OFF<br>      IIS Unicode: OFF<br>      Multiple Slash: OFF<br>      IIS Backslash: OFF<br>      Directory Traversal: OFF<br>      Web Root Traversal: OFF<br>      Apache WhiteSpace: OFF<br>      IIS Delimiter: OFF<br>      IIS Unicode Map:  NOT CONFIGURED<br>      Non-RFC Compliant Characters: 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07<br>      Whitespace Characters: 0x09 0x0b 0x0c 0x0d<br>    TELNET CONFIG:<br>      Are You There Threshold: -1<br>      Normalize: NO<br>    Check for Encrypted Traffic: OFF<br>      Continue to check encrypted data: NO<br>rpc_decode<br>Portscan Detection Config:<br>    Detect Protocols:<br>    Detect Scan Type:<br>    Sensitivity Level:<br>    Memcap (in bytes): 1048576<br>    Number of Nodes:   0<br>PerfMonitor config:<br>  Sample Time:      1 seconds<br>  Packet Count:     1<br>  Max File Size:    2147483647<br>  Base Stats:       ACTIVE (SUMMARY)<br>    Base Stats File:  INACTIVE<br>    Max Perf Stats:   INACTIVE<br>  Flow Stats:       INACTIVE (SUMMARY)<br>  Event Stats:      INACTIVE (SUMMARY)<br>  Flow IP Stats:    INACTIVE (SUMMARY)<br>  Console Mode:     ACTIVE<br>Binder<br>--------------------------------------------------<br>pcap DAQ configured to passive.<br>Commencing packet processing<br>++ [0] eno16777736<br><br>----------------------------------ll /var/log/snort/-----------------------------<br>[root@...196... ~]# ll /var/log/snort/<br>total 40<br>-rw-r--r--. 1 root root     0 Jan 14 02:05 barnyard2.waldo<br>-rw-------. 1 root root 37516 Jan 15 23:18 log.pcap<br><strong>-rw-------. 1 root root     0 Jan 15 23:16 unified2log.u2.1421381779<br>-rw-------. 1 root root     0 Jan 16 01:11 unified2log.u2.1421388663</strong><br>[root@...196... ~]#<br><br>--------------------------------------------rules -------------------------------------<br>[root@...196... ~]# cat /etc/snort/rules/local.rules<br># Copyright 2001-2013 Sourcefire, Inc. All Rights Reserved.<br>#<br># This file contains (i) proprietary rules that were created, tested and certified by<br># Sourcefire, Inc. (the "VRT Certified Rules") that are distributed under the VRT<br># Certified Rules License Agreement (v 2.0), and (ii) rules that were created by<br># Sourcefire and other third parties (the "GPL Rules") that are distributed under the<br># GNU General Public License (GPL), v2.<br>#<br># The VRT Certified Rules are owned by Sourcefire, Inc. The GPL Rules were created<br># by Sourcefire and other third parties. The GPL Rules created by Sourcefire are<br># owned by Sourcefire, Inc., and the GPL Rules not created by Sourcefire are owned by<br># their respective creators. Please see <a href="http://www.snort.org/snort/snort-team/" target="_blank">http://www.snort.org/snort/snort-team/</a> for a<br># list of third party owners and their respective copyrights.<br>#<br># In order to determine what rules are VRT Certified Rules or GPL Rules, please refer<br># to the VRT Certified Rules License Agreement (v2.0).<br>#<br>#-------------<br># LOCAL RULES<br>#-------------<br><br>alert icmp any any -> any any (msg:"icmp"; itype:8; sid:100000; rev:1;)<br>alert tcp any any -> any any (msg:"tcp"; sid:"1000001";)<br><br><br>[root@...196... ~]#<br><br><br>---------------------------------------------------------------------------<br><br><br><br><br>블로그서명<br>시작했다면 끝을 보아라<br>자기소개를 입력하세요.<br><br><br><br></div><div style="padding: 10px 0px; font-family: Gulim; font-size: 10pt;"><table width="99%" border="0" cellspacing="0" cellpadding="0"><caption style="left: 0px; top: 0px; width: 0px; height: 0px; line-height: 0; overflow: hidden; font-size: 0px; visibility: hidden;">블로그서명</caption><tbody><tr><td height="16" style='background: url("https://ssl.pstatic.net/static/mail4/blog_dotline.gif") repeat-x;' colspan="2"></td></tr><tr><td width="29" align="left" valign="top"><a href="http://blog.naver.com/pji5732.do" target="_blank"><img width="21" height="16" alt="블로그" src="https://ssl.pstatic.net/static/mail4/blog_img.gif" border="0"></a></td><td align="left" valign="top" style="line-height: 16px; padding-top: 3px;"><a style="color: black; font-family: dotum; font-size: 9pt; font-weight: bold; text-decoration: none; margin-bottom: 4px; float: left;" href="http://blog.naver.com/pji5732.do" target="_blank">시작했다면 끝을 보아라</a><br><a title="시작했다면 끝을 보아라" class="c" style="color: rgb(102, 102, 102); clear: both; font-family: dotum; font-size: 9pt; font-weight: normal; text-decoration: none; float: left; line-: 15px;" href="http://blog.naver.com/pji5732.do" target="_blank">자기소개를 입력하세요.</a></td></tr></tbody></table></div>

</div>
<table style="display:none"><tr><td><img src="http://mail.naver.com/readReceipt/notify/?img=SeKqFqkG1NgqFouqhAnZFoM%2FKxv%2FFrJ0Kqv%2FaAb%2Fpou9K6u%2FFo2daxu%2FFuIo%2Br3T%2Br%2FmKLl5WLl51zlqDBFdp6d5MreRhoRqW4eZ%2BV9vpBp0WuIn1BFdbZlqWXkZMrk4WXiNpLl5pBt%3D.gif" border="0"></td></tr></table>