我的博客
测试snort时遇到这个错误“Unknown ClassType: misc-activity”
||
之前有段时间准备试下snort,是在Windows下运行的,测试运行时参考网上的内容边更改配置文件边执行,一些明显的错误都一个个改好了,主要是Windows的文件路径和Linux的路径不一致而已,最后遇到类似下面的错误:
ERROR: D:\apps\Snort\rules/blacklist.rules(2) Unknown ClassType: misc-activityFatal Error, Quitting..
照着字面意思看来以为是和 /etc/classification.config 文件有关,但是也搞不懂问题在哪里,上网搜索了下,看到snort mailing list里面有人遇到类似问题:Unknown ClassType
但是下面也没提到如何解决,之后在Linux下随便安装下测试就一切正常,当然没有具体去研究生成的alert等,只是看能否运行起来,Windows下的那个问题也暂时搁在那边。
过了估计几个月,又想起来这个事情,找一个同事一起测试,他那边同样在Windows下可以顺利运行,我找他比对了下配置文件(snort.conf),发现问题是我这边output开头的行都是被注释掉的,于是参考他的将某一output开个的行取消注释,比如:
# pcapoutput log_tcpdump: tcpdump.log
这样再执行snort测试就OK了,问题竟然是这样,错误提示和实际问题点好像一点关联都没有。
我顺便也订阅了snort的邮件列表,只是为了将这个解法回到邮件列表中,以便让前面同样遇到问题哥们参考,不晓得他遇到的问题原因是否和我一样。
