Назад | Перейти на главную страницу

указать файлы вывода snort?

Меня смущает вывод snort. Где должен быть указан выходной файл (ы)?

ИЛИ, точнее, у меня записываются два файла (alert и snort.log.xxx), но указан только один выходной файл (snort.log.xx), и я ожидаю только один выходной файл (snort.log.xx ).

Откуда файл предупреждений?

Кстати, barnyard2 в настоящее время не работает.

заранее спасибо!

Подробности:

записываемые файлы:

$ ls -la / var / snort / eth4

drwxrwxr-x+ 3 snort snort     4096 Oct 11 10:08 .
drwxr-xr-x. 3 snort snort     4096 Oct 11 10:03 ..
-rw-rw-r--+ 1 snort snort 12535192 Oct 11 10:22 alert                 <-
-rw-rw-r--+ 1 snort snort  1345798 Oct  9 03:28 alert-20111009.gz
-rw-rw-r--+ 1 snort snort  1488789 Oct 10 03:36 alert-20111010.gz
-rw-rw-r--+ 1 snort snort  1195682 Oct 11 03:40 alert-20111011.gz
drwxrwxr-x+ 2 snort snort     4096 Oct 11 03:40 archive
-rw-rw-r--+ 1 snort snort   357148 Oct 11 10:22 snort.log.1318356523  <-

Но мой /etc/snort/snort.conf имеет только одну директиву конфигурации output:

   output unified2: filename snort.log, limit 128

А поскольку это redhat, нужно использовать как / etc / sysconfig / snort, так и /etc/init.d/snortd, чтобы выяснить, где находится цель '-l', как я полагаю:

/var/snort/eth4

вот топор пс | grep snort

6851 ?        Ssl    0:51 /usr/sbin/snort -A fast -b -d -D -I -i eth4 -u snort -g snort -c /etc/snort/snort.conf -l /var/snort/eth4

При изучении двух файлов предупреждения выглядят как список аналогий в формате ascii, а snort.log.xxx выглядит как двоичный файл, предположительно захвата потока данных?

так откуда же файл предупреждений?

Приложение Snort имеет довольно надежную подсистему ведения журнала. Включив unified формат журнала вы должны и видите два типа журналов:

  1. файл предупреждения - содержит высокоуровневую информацию о событии
  2. файл журнала - содержит гораздо более подробную информацию, включая дамп пакета

Оба файла записываются на диск в двоичном формате. Хотя это затрудняет анализ для аналитика, для приложения это значительно быстрее. Для получения дополнительной информации, хотя и не очень большой, обратитесь к документации Snort для плагин унифицированного вывода было бы полезно прочитать.

Если вам нужна необработанная текстовая версия сработавших предупреждений, я бы рекомендовал системный журнал тип вывода. Это один из наиболее гибких вариантов, поскольку он позволяет вам управлять своим логированием на хосте, а не в приложении. Кроме того, поскольку у вас есть -d переключатель командной строки перевернут, захват каждого пакета, запускающего предупреждение, будет сохранен в формате pcap. Это по-прежнему дает вам хорошую информацию для использования при ложноположительном анализе.

В alert файл регистрирует предупреждения, когда захваченный пакет соответствует правилу. Оно произошло от... -A fast который вы указываете при запуске Snort.