Режим входа фырканья - Как определить подсети
Выполнение ps -ef показал бы текущие процессы.
В нескольких терминалах Вы могли выполнить их некоторое время: top, iftop и iotop они, соответственно разговор, предлагают ЦП, использование сети и использование диска среди других вещей.
Проверка планирующий вокруг файлов крона и двоичных файлов/событий, упомянутых в /var/log/messages, /var/log/secure и /var/log/syslog должен помочь также.
Посмотрите /etc/snort/snort.conf
. Вы можете определить свою домашнюю и внешнюю сети. Домашние сети игнорируются, пока обрабатываются внешние сети.
var HOME_NET [10.1.1.0/24,192.168.1.0/24]
вы можете легко расширить эти списки.
После того, как вы определили свои разумные и домашние сети, вы можете исключить правила, которые вы не используете или не должны монитор.
include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/community-exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
# include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
Просто раскомментируйте ненужные правила.