sid-msg.map文件概述

我这边编写了magic对应的指定文件规则，但是运行的时候发现储存的文件中包含我未指定的数据文件:

在rules下边看的时候，发现有sid-msg.map文件，上网了解下这个文件是干啥的。。

下边文章来自简书：http://www.jianshu.com/p/6de14a787868     ，虽然说得是snort的但是suricata中，也有他，也包含了barnyard2;

Snort sid-msg.map文件概述

小天是我见过最单纯善良的人 关注

2015.09.06 15:53* 字数 493 阅读 540评论 0喜欢 0

0x00来源

　　解压自snortrules-snapshot-2975.tar.gz，来自于<解压目录>/etc/sid-msg.map，配置Snort时将此文件放在/etc/snort 目录下，具体的请看 CentOS6.6下基于snort+barnyard2+base的入侵检测系统的搭建

0x01用途

　　通过名字可以看出他是sid和msg的一张map，也就是sid和msg一一对应的一张表，他里面默认写好了2975中的对应情况，用户自定义规则中的msg和sid如果想要对应起来，同样也要写入此文件中。
　　如果没有写入，举个例子，

自定义规则

BASE告警

通过上面这两张图我们看到，在BASE告警这张截图中，<特征>下面写的是Snort Alert[gid,sid,rev]，并不是我们想要的msg中的内容。这时候我们就需要改一下sid-msg.map文件了，将这个对应关系添加上。

0x02实施

自定义规则

将对应关系添加到sid-msg.map

　　然后重启barnyard2和snort

成功

0x03遇到的问题

　　一直没有成功的原因是我只重启了snort，并没有想到要重启barnyard2，但是，通过barnyard2的配置文件barnyard2.conf中可以看到

设置sid-map路径

而snort.conf中并没有设置这个路径，所以重启barnyard2才是符合逻辑的。

0x04 9月16日补充内容

reference这个关键词，虽说，没什么关键性的作用，但是我搞了两天都没把他搞定。
问题现象：

reference

上面一条是我自己写的规则，下面一条是snort本身的规则，我也在规则中使用reference关键词了，但是并没有什么用，后来发现了这个其实和msg是一样的，在规则中修改并没有什么作用，必须在sid-msg.map中添加才行。

sid-msg.map

最后感谢µ°²×°³ÌÐò°²×°³小盆友。

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------