snort在使用過程中遇到的問題：ERROR: OpenAlertFile() => fopen() alert file log/alert.ids:No such file or directory

標籤：

轉自：http://www.cnblogs.com/kathmi/archive/2010/08/09/1795405.html

Snort是著名的開源入侵偵查工具，不僅它的嗅探功能極佳，在伺服器安全方面也可提供安全防護。

近期因為涉及此項內容，故記錄下來。

使用的軟體如下：

• Snort_2_8_6_Installer.exe（按照預設路進安裝即可）
• WinPcap_4_1_2.exe
• snortrules-snapshot-2860.tar.gz（規則庫，解壓到Snort的安裝目錄，如果提示重複檔案，可以選擇不覆蓋）

Snort是個命令列軟體，相關指令今後介紹，先熟悉一下準系統。

安裝完成後，為了使用方便，在系統內容變數PATH添加(/\Snort\/)\bin，其中(/\Snort\/)為Snort的主目錄。

在cmd中，運行snort -W，W大寫。此命令可以作為Snort是否安裝成功的標誌，同時可以看到運行著的網卡資訊。

在什麼都不做的情況下，一個snort -v就可以實現簡單的嗅探任務。CTRL+C可以結束嗅探。

比較複雜一點的是配置。RULE_PATH，SO_RULE_PATH，PREPROC_RULE_PATH，dynamicpreprocessor和dynamicengine的路徑設定Windows上的絕對路徑。有一點需要留意，dynamicpreprocessor的路徑最後不要以斜杠或反斜線結尾，原配置上有斜杠，如果有會造成引擎載入失敗。

使用配置的命令方式為：snort -v -c (/\Snort\/)\etc\snort.conf；按此命令或出現ERROR: OpenAlertFile() => fopen() alert file log/alert.ids:No such file or directory。可能是此版本下的第二個BUG，希望以後官方能夠提供修正。

既然無法運行，我們只能通過snort -l  (/\Snort\/)\mylogs  -c (/\Snort\/)\etc\snort.conf將檔案寫入指定目錄中。

至此，snort算是簡單使用了，之所以寫這篇，一來為繼續介紹snort做準備，二來上面的兩個BUG，給初次使用的人帶來的困惑，記錄下來，以此說明。

snort在使用過程中遇到的問題：ERROR: OpenAlertFile() => fopen() alert file log/alert.ids:No such file or directory