Snort установлен на Ubuntu, не отправляя оповещения в системный журнал

970
Haim

У меня есть настроенный веб-сайт Magento на компьютере с Linux, который основан на готовом образе Bitnami.

Основная цель - получать уведомления по электронной почте о возможной атаке на сайт.

Моя настройка:

  • Ubuntu 14.04.3 LTS
  • Стек Битнами Магенто 1.9.1.0-0
  • Snort 2.9.7.5

Для этого я решил установить Snort IDS и отправить по электронной почте оповещения, поступающие в системный журнал, используя Swatch.

Я установил snort, следуя этому руководству с официального сайта Snort.

Я только что закончил раздел 9 этого урока, что означает:

  • Установлены все возможности.
  • Установлен Snort IDS на машине.
  • Настройте тестовое правило для оповещения о возникновении ICMP-запросов (ping).

Далее, чтобы позволить Snort регистрировать оповещения в системном журнале, я раскомментировал эту строку в файле snort.conf:

output alert_syslog: LOG_AUTH LOG_ALERT

Я проверил установку, выполнив эту команду:

sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Пока работает Snort, я сделал запрос ping из другой системы. Я вижу уведомления, регистрирующиеся в файле журнала Snort, но в системный журнал ничего не добавлено.

След и ошибки:

  1. Запустите snort от имени пользователя root.

  2. Настройте системный журнал для отправки журналов на другой сервер (удаленный системный журнал).

У меня нет большого опыта работы с Linux, поэтому любая помощь, чтобы указать мне правильное направление, будет очень цениться.

1

1 ответ на вопрос

0
Haim

Я также разместил этот вопрос на linuxquestions.org и получил ответ.

После ответа unSpawn я просмотрел файлы conf rsyslog и обнаружил, что журналы авторизации отправляются в файл auto.log. Это привело к быстрому исправлению добавления дополнительного файла .conf в /etc/rsyslog.d с содержимым:

auth /var/log/syslog

Также, как и предполагалось, я внес некоторые изменения в команду выполнения snort (опуская консоль -q -A):

sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0

после перезапуска службы rsyslog я обнаружил отсутствующие предупреждения Snort в системном журнале.

Похожие вопросы