我这边编写了magic对应的指定文件规则,但是运行的时候发现储存的文件中包含我未指定的数据文件:
在rules下边看的时候,发现有sid-msg.map文件,上网了解下这个文件是干啥的。。
下边文章来自简书:http://www.jianshu.com/p/6de14a787868 ,虽然说得是snort的但是suricata中,也有他,也包含了barnyard2;
Snort sid-msg.map文件概述
0x00来源
解压自snortrules-snapshot-2975.tar.gz,来自于<解压目录>/etc/sid-msg.map,配置Snort时将此文件放在/etc/snort 目录下,具体的请看 CentOS6.6下基于snort+barnyard2+base的入侵检测系统的搭建
0x01用途
通过名字可以看出他是sid和msg的一张map,也就是sid和msg一一对应的一张表,他里面默认写好了2975中的对应情况,用户自定义规则中的msg和sid如果想要对应起来,同样也要写入此文件中。
如果没有写入,举个例子,
通过上面这两张图我们看到,在BASE告警这张截图中,<特征>下面写的是Snort Alert[gid,sid,rev],并不是我们想要的msg中的内容。这时候我们就需要改一下sid-msg.map文件了,将这个对应关系添加上。
0x02实施
然后重启barnyard2和snort
0x03遇到的问题
一直没有成功的原因是我只重启了snort,并没有想到要重启barnyard2,但是,通过barnyard2的配置文件barnyard2.conf中可以看到
而snort.conf中并没有设置这个路径,所以重启barnyard2才是符合逻辑的。
0x04 9月16日补充内容
reference这个关键词,虽说,没什么关键性的作用,但是我搞了两天都没把他搞定。
问题现象:
上面一条是我自己写的规则,下面一条是snort本身的规则,我也在规则中使用reference关键词了,但是并没有什么用,后来发现了这个其实和msg是一样的,在规则中修改并没有什么作用,必须在sid-msg.map中添加才行。
最后感谢µ°²×°³ÌÐò°²×°³小盆友。
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------