Фыркните анализ файла PCAP не пишет для предупреждения файла
Можно просто сбросить $HISTFILE (который содержит путь к файлу истории), который не будет влиять на Вашу способность использовать историю на текущей сессии:
unset HISTFILE
Похоже, что snort не записывает журнал предупреждений при обработке pcap-файла, однако он должен вести правильный журнал перехвата пакетов (, например./var/log/snort/snort.log.1502097194).
Поскольку он не записывает журнал предупреждений, вместо этого вы можете заставить snort записывать сообщения журнала предупреждений в системный журнал, используя флаг -s(, или журнал событий в Windows, используя -E), например.:
snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf
Затем вы должны увидеть предупреждения в системном журнале, например.:
$ sudo tail -f /var/log/messages
Aug 7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21
В вашем случае, вероятно, snort.logне содержит данных, так как оповещения не срабатывали. Вы должны быть в состоянии подтвердить это либо просмотрев системный журнал, либо в сводном отчете впоследствии, например.:
Action Stats:
Alerts: 1 ( 5.263%)
Logged: 1 ( 5.263%)
Passed: 0 ( 0.000%)