Snort diinstal pada Ubuntu tidak mengirim peringatan ke syslog

1

Saya memiliki pengaturan situs web Magento pada mesin Linux yang didasarkan pada gambar siap pakai Bitnami.

Tujuan utamanya adalah untuk diberitahukan melalui email setiap kali ada kemungkinan serangan di situs.

Pengaturan saya:

  • Ubuntu 14.04.3 LTS
  • Bitnami Magento Stack 1.9.1.0-0
  • Snort 2.9.7.5

Untuk mencapai itu saya memutuskan untuk menginstal Snort IDS dan mengirim email pemberitahuan yang datang ke syslog menggunakan Swatch.

Saya sudah menginstal dengusan dengan mengikuti tutorial ini dari situs web resmi Snort.

Saya baru saja menyelesaikan bagian 9 dari tutorial itu yang berarti:

  • Menginstal semua biaya tambahan.
  • IDS Snort yang diinstal pada mesin.
  • Menyiapkan aturan pengujian untuk mengingatkan ketika permintaan ICMP (ping) terjadi.

Selanjutnya untuk membolehkan Snort mencatat peringatan ke syslog Saya telah menghapus komentar baris ini di file snort.conf:

output alert_syslog: LOG_AUTH LOG_ALERT

Saya telah menguji instalasi dengan menjalankan perintah ini:

sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Saat Snort berjalan, saya telah membuat permintaan ping dari sistem lain. Saya dapat melihat lansiran mendaftar di file log Snort tetapi tidak ada yang ditambahkan ke syslog.


Jejak dan kesalahan:

  1. Jalankan dengusan sebagai root pengguna.

  2. Atur syslog untuk memantulkan log ke server lain (syslog jarak jauh).

Saya tidak punya banyak pengalaman dengan Linux sehingga bantuan untuk mengarahkan saya ke arah yang benar akan sangat dihargai.

Haim
sumber

Jawaban:

0

Saya telah memposting pertanyaan ini di linuxquestions.org juga dan mendapat jawaban.

Mengikuti balasan unspawn saya telah meninjau file conf rsyslog dan menemukan bahwa auth log dikirim ke file auto.log. Yang menyebabkan perbaikan cepat menambahkan file .conf tambahan ke /etc/rsyslog.d dengan konten:

auth /var/log/syslog

Juga seperti yang disarankan saya telah membuat beberapa perubahan pada perintah eksekusi snort (menghilangkan -q -A console):

sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0

setelah memulai kembali layanan rsyslog saya menemukan peringatan Snort yang hilang di syslog.

Haim
sumber