Импорт файлов журнала Snort в WireShark

Я побежал фыркать следующим образом

sudo /usr/sbin/snort -m 027 -b -l ./snortLog -u OtagoHarbour -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

./snortLog получил файлы alert и snort.log.1381507400. Я хочу изучить файл журнала с помощью WireShark. Я запустил WireShark, выбрал «Импорт» и ввел имя файла журнала в поле «Имя входного файла». Затем я нажал ОК. Я получил сообщение о сохранении предыдущих захваченных пакетов. Я выбрал «Продолжить без сохранения», и он продолжил работу без сообщений об ошибках. Однако окно со списком пакетов совершенно пусто.


wireshark snort
person OtagoHarbour    schedule 11.10.2013    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Какую версию Wireshark вы используете?

В любом случае, если вы только что «запустили Wireshark» и открыли файл, вы не должны были получить сообщение о «сохранении предыдущих захваченных пакетов».

Чтобы прочитать существующий двоичный файл pcap(tcpdump) (это то, что, я думаю, у вас есть, поскольку вы указали -b для фырканья).

  1. Запустить Wireshark
  2. Делай файл! Открыть не использовать файл ! Импорт.
person willyo    schedule 13.10.2013