虽然已出现了Windows平台基于Snort.exe程序的图形窗口控制程序idscenter.exe，但还是不能避免使用命令，下面详细介绍Snort命令及其参数的作用。

Snort的命令行的通用形式为：snort-[options]<filters>。

各个参数的功能如下。

● -A<alert>：设置报警模式，alert=full/fast/none/unsock。其中，full模式是默认警报

模式，它记录标准的alert模式到alert文件中；fast模式只记录时间戳、消息、IP

地址、端口到文件中；unsock模式是发送到UNIX socket；none模式是关闭报警。

● -b：用二进制文件保存网络数据包，以应付高吞吐量的网络。

● -B<mask>：将IP地址信息抹掉，去隐私化。

● -c<cf>：使用配置文件<cf>，这会使得snort进入IDS模式，并从<cf>中读取运行

的配置信息。

● -d：显示包的应用层数据。

● -D：以后台进程运行snort。如无指定，Alerts将写到/var/log/snort/alert。

● -e：显示数据链路层的信息。

● -E：保存报警日志为Windows事件日志。

● -f：激活PCAP行缓冲（Line Buffering）。

● -F<bpf>：指定BPF过滤器。

● -g<gname>：初始化Snort后以组ID（group ID）运行。

● -G<id>：为事件生成设置一个基础事件id值。

● -h<hn>：设置本地网络为hn，如192.168.1.0/24。

● -i<if>：设置网络接口为<if>。可以用-W选项查询网络接口列表，然后用接口序号

index指定接口，如-i 2。

● -I：报警时附加上接口信息。

● -J<port>：当以in-line模式运行时，这个选项将只捕获<port>端口的报文。

● -k<checksum mode>：设置校验和模式为all、noip、notcp、noudp、noicmp或none。

● -K<logging mode>：设置保存文件的格式为pcap、ascii或none。其中，pcap是默

认格式，同于-b选项的格式；ascii是老的模式格式；none则关闭数据包记录。

● -l<ld>：设置数据包文件存放目录<ld>。默认目录是/var/log/snort.

● -M：当以非后台模式daemon运行时，保存信息到syslog。

● -m<mask>：设置snort输出文件的权限位。(www.daowen.com)

● -n<count>：出来<count>个报文后终止程序。

● -N：关闭保存日志包功能。

● -o：改变应用规则的顺序。从Alert→Pass→Log顺序改为Pass→Alert-→Log，避免

了设置大量BPF命令行参数来过滤alert规则。

● -O：在ASCII数据包捕获模式下混淆IP地址。

● -p：关闭混杂模式。

● -P<snaplen>：设置snaplen，默认值是当前网卡的MTU。

● -q：安静模式，不显示标志和状态报告。

● -Q：当在线（in-line）运行时，从iptables/IPQ中读取数据包。

● -r<tf>：从pcap格式的文件中读取数据包。

● -R<name>：为snort pidfile增加下标。

● -s：使snort把报警消息发送到syslog，默认的设备是LOG_AUTHPRIV和

LOG_ALERT。可以修改snort.conf文件修改其配置。

● -S<n=v>：将变量n的值设置为v。

● -t<chroot>：初始化后将Snort的根目录改变为<chroot>。

● -T：以自检测模式启动Snort。

● -u<uname>：初始化后改变Snort的UID。

● -U：在时间戳上用UTC时间代替本地时间。

● -v：从网络上读出数据包然后显示在你的控制台上。

● -V：查看版本号并退出。

● -w：如果运行在802.11网中，显示管理帧。

● -W*WIN32 ONLY*：列出可以网络接口。其中的Index或Device Name都可以用到

-i选项中。

● -X：显示包括数据链路层的原始数据包。

● -y：在时间戳里显示年份。

● -Z<path>：设置性能监视器(perfmon)路径。

● -？：帮助信息。