Прочитайте журнал предупреждений от snort

У меня есть новый экземпляр с настройкой snort. Когда я попытался просмотреть журнал предупреждений, я заметил, что в каталоге нет файла /var/log/snort/alert. Я попытался прикоснуться к этому файлу и выполнить chmod, чтобы дать доступ для чтения и записи моему пользователю snort, но у меня все еще нет предупреждений (даже если я создам правило, чтобы перехватывать все вызовы и помещать их в журнал как ошибки)

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

Любая идея, если я что-то упустил.

Кстати, вот команда, которую я запускаю для Snort:

sudo /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.0.0/16] -i eth0

Я что-то упускаю?


logging intrusion-detection snort
person Elie    schedule 07.10.2014    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Вам не нужно создавать какой-либо файл. snort создаст его, когда что-то соответствует вашему правилу, и сгенерирует предупреждение. Для этого запустите snort в режиме полного предупреждения, чтобы регистрировать все предупреждения примерно так.

‫‪snort‬‬ ‫‪-dev‬‬ ‫‪-i‬‬ ‫‪wlan0‬‬ ‫‪-c‬‬ ‫‪/etc/snort/snort.conf‬‬ ‫‪-l‬‬ ‫‪/var/log/snort/‬‬ ‫‪-A‬‬ ‫‪full‬‬

Затем, если у вас Linux, вы можете перейти по пути ‫‪‬‬ ‫‪cd /var/log/snort/‬‬ и посмотреть свои журналы с помощью этой команды: cat alert | grep -i‬‬ ‬‬‫‪‫‪detected

person Nahid Bandi    schedule 01.01.2016

arrow_upward
1
arrow_downward

Если вы хотите, чтобы оповещения отправлялись в системный журнал, вы должны указать это в файле snort.conf (в вашем случае /etc/snort/snort.conf) с ключевым словом output. Вам нужно добавить ключевое слово «выход», а затем имя «alert_syslog», а затем параметры:

output <name>: <options>

Итак, в вашем файле snort.conf должно быть что-то вроде следующего:

output alert_syslog: log_alert

Подробнее об опциях, которые можно использовать с alert_syslog, читайте здесь

person johnjg12    schedule 10.10.2014