堆棧內存溢出
  簡體   English   中英

snort sfportscan日志文件輸出不具有event_id,而是event_ref且值為0

[英]snort sfportscan log file output does not have event_id, instead is event_ref and the value is 0

 原文  2018-11-15 00:54:44       snort

問題描述

我的配置如下: 

preprocessor sfportscan: proto { all } \
scan_type  { all } \
sense_level { high } \
logfile { alert }

當我運行snort並使用nmap進行掃描時,日志文件輸出如下: 

Time: 02/23-12:54:21.183932 
event_ref: 0
[Source ip address] -> [Destination ip address] (portscan) TCP Portscan
Priority Count: 9
Connection Count: 10
IP Count: 1
Scanner IP Range: [Destination ip address]:[Destination ip address]
Port/Proto Count: 10
Port/Proto Range: 981:12174

但是snort文檔是這樣說的: 

Time: 09/08-15:07:31.603880
event_id: 2
192.168.169.3 -> 192.168.169.5 (portscan) TCP Filtered Portscan
Priority Count: 0
Connection Count: 200
IP Count: 2
Scanner IP Range: 192.168.169.3:192.168.169.4
Port/Proto Count: 200
Port/Proto Range: 20:47557

如果目標上有開放端口,將附加一個或多個其他帶標記的數據包: 

Time: 09/08-15:07:31.603881
event_ref: 2
192.168.169.3 -> 192.168.169.5 (portscan) Open Port
Open Port: 38458

我沒有event_id,而是event_ref,其值為0

0 個解決方案

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Snort日志文件輸出格式 snort日志文件格式 如何從Snort SQL中刪除此事件? 從snort中讀取警報日志 如何查看 snort 日志文件 從Perl讀取時,為什么Snort日志文件顯示錯誤? 使用正則表達式解析Snort警報文件 嘗試在 snort 日志 (.csv) 中分隔日期時間 SNORT:如何將日志文件另存為ASCII格式? Java腳本的Snort規則不起作用
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM