Назад | Перейти на главную страницу

Может ли snort выводить предупреждение о сканировании портов (sfPortscan) в системный журнал?

Я слишком долго над этим работаю. Я уверен, что ответ должен быть очевиден, но ...

Руководство по Snort: http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf перечисляет два вывода журнала на стр. 39 (стр. 40 согласно Acrobat Reader) как: «Унифицированный вывод» и «Вывод файла журнала», что, как я предполагаю, относится к «унифицированному» режиму вывода ... что заставляет меня думать, что ответ равно «Нет, snort не может выводить предупреждения об обнаруженных сканированиях портов в системный журнал».

Файл конфигурации, который я использовал:

alert tcp any 80 -> any any (msg:"TestTestTest"; content: "testtesttest"; sid:123) preprocessor sfportscan: proto  { all } \
                         memcap { 10000000 } \
                         scan_type { all } \
                         sense_level { high } \
                         logfile { pscan.log }

(да, я знаю очень просто).

Простой nmap запускает вывод в pscan.log

Кто-нибудь может это подтвердить? Или укажите, как я это делаю?

Snort имеет несколько вариантов вывода. Это исторически включало системный журнал, но даже если в настоящее время этого нет, вы можете использовать barnyard для вывода в syslog (и я предполагаю, что barnyard2 тоже включает, но я не тестировал его).


редактировать

Думаю, я понимаю ваше замешательство. Страница 96 из руководство подробно описывает (предупреждает) запись в системный журнал, однако журнал, на который вы ссылаетесь, предназначен для ведения журнала пакеты, а не предупреждения.

Итак, да, вы можете писать предупреждения в системный журнал, но вы просто не можете записывать пакеты в системный журнал.