Я пытаюсь настроить IDS в системе, состоящей из экземпляров AWS Ubuntu 16.04. Мой HIDS управляется OSSEC 2.8.1, а мой NIDS - Snort 2.9.9.0 (анализируется Barnyard2 версии 2.1.14, который также управляет пересылкой системного журнала).
В этом случае (и в других случаях до него), когда я настраивал OSSEC, с одной стороны, и Snort / Barnyard2, с другой, я заметил, что OSSEC (который автоматически настраивается на использование rsyslog для ведения журнала) работает сам по себе. Кроме того, Snort / Barnyard2 работает хорошо, когда я помещаю эту строку в barnyard2.conf и OSSEC не работает:
output alert_syslog: LOG_LOCAL5 LOG_ALERT
Однако, когда и HIDS, и NIDS работают / перенаправляются в системный журнал, мой экземпляр EC2 зависает, и мне нужно восстановить образ, чтобы он снова заработал (даже если я перезапущу экземпляр, я не могу вернуться в него). Я пробовал записывать OSSEC и Snort / BY2 в разные файлы, но это не сработало. Я также попытался настроить очередь памяти с поддержкой диска, которая также не сработала. Мне действительно нужно это настроить, и я не могу просто выбирать между одним и другим.
Я добавил этот файл в /etc/rsyslog.d
:
$template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n"
$ActionQueueType LinkedList
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
# For general Syslog info
*.* @@w.x.y.z:1514;GRAYLOGRFC5424
local5.alert /var/log/snort.log
local5.alert @@w.x.y.z:1515;GRAYLOGRFC5424
Я также должен упомянуть, что этот файл правильно пересылает Snort и другие данные rsyslog на центральный сервер журналов, и что я также смог настроить центральное ведение журнала для OSSEC, но в любом конкретном случае я не могу запустить OSSEC и Snort + Barnyard2 + rsyslog пересылка одновременно.
Заранее спасибо!
Я не использую Barnyard2, только ванильное фырканье. Я вхожу в обычный файл журнала предупреждений (не в системный журнал). Я настраиваю OSSEC для использования этого файла вместе с другими файлами журнала. У OSSEC есть экстрактор по умолчанию для журнала предупреждений ванильного фырканья, как и у других экстракторов.
В rsyslog записывается только OSSEC.