若有問題可以隨時回板上來問~~
不過建議將問題縮小~~不要問一個大 topic , 大多數的狀況下即使別人會
也知道如何回答你,但是沒有時間也沒法回你的問題~~
我個人覺得 snort 吃蠻多系統資源 , 如果可以最好將 rule 調一下, 不要直接就用
download 下來的那個 rule list, preprocess 也是很重要的章節,不要只把重點
放在 alert rule 的部份, 如果可以的話,可以參照精華區中的文章,
將其做成 DB log 的型式,有助於你交叉分析.
另外一點點心得是,記得用 crontab 讓 snort 固定時間 kill ,再 run 一次,
我的感覺較不會佔那麼多 RAM, 且若當了也可以有個 restart 的時間點,
另一個心得是如果你的 snort sensor 的點多, 要去 monitor 該機器的 snort
是否還 active, 最後的方法是寫上一條 你才會觸發的 rule, (log to db )
Ex:
alert icmp YOUR_SRC_IP any -> $HOME_NET any (msg:"I am alive";)
