Nếu muốn ghi các gói tin lên đĩa, cần quy định một thƣ mục log và Snort sẽ tự động biết thực trong mode này:
./snort – dev -l./log
Trƣớc đó phải tạo một thƣ mục log trong thƣ mục hiện tại. nếu không snort sẽ thoát kèm theo một thông báo lỗi. Khi snort chạy trong mode này, nó đặt tất cả các gói tin vào trong phân cấp thƣ mục dựa trên địa chỉ IP của các host.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Nếu chỉ gõ -1, có thể thấy là Snort đôi khi dùng địa chỉ của máy tính từ xa nhƣ thƣ mục đặt gói tin, đôi khi dùng địa chỉ máy nội bộ. Để log các gói tin liên quan đến mạng home, cần phải chỉ ra mạng home:
./snort – dev -1./log –h 192.168.1.0/24
Luật này cho snort biết phải in ra phần mào đầu của gói tin TCP/IP và lớp liên tiếp dữ liệu cũng nhƣ dữ liệu tầng ứng dụng vào thƣ mục ./log, và các gói tin đƣợc log là liên quan đến mạng 192.168.1.0. Tất cả các gói tin đến sẽ đƣợc ghi vào thƣ mục con của thƣ mục log, với tên thƣ mục dựa trên địa chỉ của host ở xa. Lƣu ý rằng nếu cả hai host cùng trên mạng home thì tên thƣ mục sẽ dựa trên host có số hiệu cổng cao hơn. Nếu đang ở trên mạng có tốc độ cao và muốn log các gói tin dƣới dạng nén đƣợc nhiều hơn để phân tích sau, nên log theo mode nhị phân. Mode nhị phân log các gói tin theo dạng tcpdump đến một file nhị phân trong thƣ mục log.
Khi hoạt động ở mode nhị phân thì Snort sẽ log tất cả vào một file duy nhất, không cần phải quy định dạng cấu trúc thƣ mục đầu ra, không cần phải chạy trong mode verbose. Do đó, không phải viết các tuỳ chọn –d và -e trong mode nhị phân toàn bộ gói tin đƣợc log. Tất cả việc phải làm chỉ là quy định thƣ mục log tại dòng lệnh với tuỳ chọn –l; tuỳ chọn –b chỉ đơn thuần đƣa ra bổ sung để cho biết log gói tin theo kiểu nhị phân, không theo kiểu mặc định là kiểu ký tự trong bảng mã ASCII.
Khi gói tin đã đƣợc log vào file nhị phân, có thể đọc lại file này với các sniffer hỗ trợ định dạng nhị phân nhƣ tepdump hoặc Ethereal. Snort cũng có thể đọc các gói tin này bằng tuỳ chọn –r. Các gói tin file định dạng tcpdump có thể đƣợc xử lý qua Snort trong bất cứ mode nào. Ví dụ, nếu muốn chạy file log nhị phân qua Snort dƣới dạng mode sniffer để kết xuất các gói tin này lên màn hình, thử dòng sau:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Có thể thao tác dữ liệu trong file này theo một số cách qua các mode logging và intrusion detection của Snort, cũng nhƣ BPI interface sẵn có từ dòng lệnh. Ví dụ, nếu chỉ muốn xem các gói tin ICMP từ fole log, chỉ việc quy định một BPF filter tại dòng lệnh:
./snort –dvr packe.log icmp