Внутри файлы имеет более подробное содержание произошедшего, например, просмотрев файл ICMP_ECHO, мы получаем информацию, что были атаки на узлы xx.xx.xx.7, xx.xx.xx.15, xx.xx.xx.16, что показано на рис. 8.

Рисунок 8. Пример содержимого файла с информацией об атаках

Замечание. Из-за нашествия червя Blaster в последнее время (начиная с августа), которое стало возможным благодаря ошибкам в Windows NT/2000/XP и Windows 2003 Server, «холостой» трафик на все узлы в сети увеличился практически в десять и более раз за счёт подобных пакетов. Поэтому не удивляет тот факт, что за малый промежуток времени были зарегистрированы атаки.

Запускать Snort руками хорошо только в отладочных целях, когда же мы убедились, что он работает, необходимо подумать об автоматическом его запуске.

Автоматизация процесса запуска Snort

Изначально вопрос автоматического запуска никак не был продуман, и каждый запускал его как хотел из стартовых скриптов. Потом кто-то выложил свои скрипты в сети, а потом стартовый скрипт для помещения в директорию /etc/rc.d/init.d стал поставляться среди дополнительных программ (см.выше). Объяснить сиё можно только тем, что Snort может запускаться на различных платформах, а поддерживается он многими (см. таблицу 1, в которой запуск реализуется по-разному).

Один из возможных способов автоматического запуска представлен ниже. Для Linux следует создать файл /etc/rc.d/init.d/snortd следующего содержания:

#!/bin/bash

#

# snortd         Start/Stop the snort IDS daemon.

#

# chkconfig: 2345 79 11

# description:   snort is a lightweight network intrusion

#                detection tool that currently detects more

#                than 1100 host and network vulnerabilities,

#                portscans, backdoors, and more.

#