デーモンモードでSnortを実行したい場合は、上記のどんな組み合わせに 対してでも-Dスイッチを追加できます。ただ注意して頂きたいのは、 デーモンにSIGHUPシグナルを送ってSnortをリスタートできるように したい場合、Snortを起動する際にバイナリへの絶対パスを利用 しなければならない点です。 例:
/usr/local/bin/snort -d -h 192.168.1.0/24 -l \
/var/log/snortlogs -c /usr/local/etc/snort.conf -s -D
セキュリティ上の問題から、相対パスはサポートされていません。
公共のメーリングリストにパケットログを投稿する場合は、-Oスイッチを 試すとよいでしょう。このスイッチは、パケットの出力に含まれる IPアドレスを隠蔽化します。これは、メーリングリスト上の人々に パケットに含まれるIPアドレスを知られたくない場合に便利です。 また、もっぱらホームネットワーク上のホストのIPアドレスを隠蔽化 したいのであれば、-Oスイッチと-hスイッチを併用してください。 これは、攻撃元ホストのアドレスは誰に見られてもかまわないという 場合に効果的です。
例:
./snort -d -v -r snort.log -O -h 192.168.1.0/24これはログファイルからパケットを読み込み、192.168.1.0/24 Class Cネットワークからのアドレスのみを隠蔽化した状態で、 画面にそのパケットをダンプします。