Q001 Snort检测规则存储在何处？如果触发规则Snort将会产生几种动作类型？

Snort规则为文本格式，存储在/etc/snort/rules中，如触发规则，Snort会有5种动作类型。

·pass：忽略当前的包，后续捕获的包将被继续分析。

·alert：按照已配置的格式记录进行报警。alert是常用的动作。

·dynamic：它保持为一种潜伏状态，直到activate类型的规则将其触发，之后它将记录数据包。

·log：按照已配置的格式记录数据包。

·activate：当规则触发时产生报警，并启动相关dynamic类型规则。在检测复杂入侵攻击时会经常用到该动作。