上一篇有帶大家實際走一遍 Snort 在 Ubuntu 上的安裝方法。
今天這篇是統整出在 Ubuntu 上使用 Snort 的常見指令集！

本篇大綱
一、測試 Snort 是否安裝成功
二、啟動和停止 Snort
三、測試 Snort 規則
四、下載最新的 Snort 規則
五、查看 Snort 規則、訊息
六、生成 Snort 規則

一、測試 Snort 是否安裝成功

• 指令

snort -V

• 顯示結果：還可以看到左邊有一隻可愛的小豬～
  

二、啟動和停止 Snort

• 啟動 Snort：

sudo systemctl start snort

• 停止 Snort：

sudo systemctl stop snort

三、測試 Snort 規則

• 指令

sudo snort -A console -q -c /etc/snort/snort.conf -i <interface>

• 注意：<interface> 需替換為實際的網路介面名稱

四、下載最新的 Snort 規則

1. 打開 /etc/oinkmaster.conf 配置文件，使用文本編輯器，例如 nano：

   sudo nano /etc/oinkmaster.conf
   

2. 在配置文件中，確保你已經指定了要下載 Snort 規則的 URL。這是一個示例 URL：

   url = http://www.snort.org/pub-bin/oinkmaster.cgi/your_OINKCODE/snortrules-snapshot-3.x.tar.gz
   

   請確保 <your_OINKCODE> 部分是你的 Snort OINKCODE。你需要登錄到 Snort 官方網站以獲取自己的 OINKCODE。
3. 保存配置文件並退出文本編輯器。
4. 再次運行 oinkmaster 命令以更新規則：

   sudo oinkmaster -C /etc/oinkmaster.conf -o /etc/snort/rules
   

五、查看 Snort 規則、訊息

• 指令

sudo snort -c /etc/snort/snort.conf -T -q

• 如果這個命令執行成功且沒有任何錯誤訊息，則表示你的 Snort 配置文件（/etc/snort/snort.conf）是有效的，並且沒有語法錯誤。

六、生成 Snort 規則

• 指令

sudo snort -c /etc/snort/snort.conf -q -R <custom_rules_file>

• 這個命令是用來使用自定義規則文件運行 Snort 的。需要將 <custom_rules_file> 替換為你實際的自定義規則文件的路徑和名稱。
• 例如，如果你的自定義規則文件位於 /etc/snort/rules/custom.rules，你可以執行以下命令：

sudo snort -c /etc/snort/snort.conf -q -R /etc/snort/rules/custom.rules

今天介紹的這些指令可用於安裝、配置和運行 Snort，以及管理入侵偵測事件和 log。
* 某些指令需要使用 sudo 權限執行，因為它們需要訪問系統文件和 log。