Snort — сетевая система предотвращения (IPS) и обнаружения вторжений (IDS) путем анализа трафика.
Команда установки Snort в Ubuntu/Debian:
sudo apt-get install snort
После установки проверим запуск Snort:
ps aux | grep snort | grep -v grep
service snort status
Файлы конфигурации находятся в директории /etc/snort/, а правила обнаружения в /etc/snort/rules/.
Перенастроить snort в Ubuntu можно командой:
sudo dpkg-reconfigure snort
Или вручную открыв конфигурацию в текстовом редакторе:
sudo nano /etc/snort/snort.conf
Команда проверки правильности конфигурации:
sudo snort -T -c /etc/snort/snort.conf
При успешном тесте отобразится:
Snort successfully validated the configuration!
Snort exiting
Пример перезапуска snort:
sudo service snort restart
Пример просмотра логов:
u2spewfoo /var/log/snort/snort.log
Смотрите также https://www.snort.org/faq/readme-unified2