Snort tiene 3 modos de alerta. Por defecto en formato pcap, ascii y none o no logging. Tanto el formato ascii como pcap son enviados y guardados por Snort en el logdir o carpeta de logs ubicada normalmte en snort/log que establecemos con el comando -l
Formato pcap:
El formato pcap puede ser interpretado por analizadores tales como Windump/Tcpdump o Wireshark para su mejor comprensión y análisis.
Desde Wireshark tan solo tendremos que ir a File > Open y abrir el archivo pcap del volcado de la alerta.
Desde Windump/Tcpdump y con la opción -r leemos el archivo de formato pcap:
El formato ascii es el formato antiguo de logging y bastante interesante ya que diferencia el volcado de las alertas atendiendo a las direcciones IP causantes de dichas alertas. Se establece entonces una estructura de directorios o carpetas en /log con las direcciones IP:
Dentro de cada carpeta tenemos los volcados de las alertas correspondientes en formato ascii con todo el contenido de los paquetes:
Cualquiera de estos archivos se abre con el Bloq de notas, Notepad o similar.
Como establecemos los modos de alerta.
Los tres modos de alertas los podemos establecer con -K
- -K pcap (por defecto)
- -K ascii
- –K none
Seguridad y Redes 