当流量与 snort 规则匹配时,如何立即生成弹出窗口
how can i generate immediate pop-up when a traffic matched with a snort rule
我在桌面上使用 snort,我想在触发规则时看到一个弹出窗口 window。我在 local.rules 中编写了自己的规则。我不使用任何电子邮件系统,所以请忽略邮件选项。日志在 /var/log/snort/alerts 文件中。有什么办法可以成功吗?当写入警报时,我想查看此文件的图形 warn.i 试图编写一个 bash 脚本来检查警报文件,当散列更改时,弹出最后 10 行通知-发送,但我无法实现。请你能帮助我吗?
问候
我认为您可以执行以下操作:
#!/bin/sh
#Get current line count
LINES=`wc -l /var/log/snort/alerts | tr -d -c 0-9`
while [ true ]
do
NEWCOUNT=`wc -l /var/log/snort/alerts | tr -d -c 0-9` #Get new line count
if [ $LINES != $NEWCOUNT ]
then
DIFF=`expr $NEWCOUNT - $LINES` #Get the difference
LINES=$NEWCOUNT #Set the line count to the new count
COMMAND="$(tail -n "$DIFF" alert)" #Get the output of the new lines in the file
echo "$(notify-send "$DIFF new alerts: $COMMAND")"
sleep 5 #sleep 5 seconds
fi
done
这将每 5 秒检查一次新警报,如果你想让它不断检查你可以删除睡眠,但你可能想要使用一秒钟或其他时间。我不是 bash 方面的专家,因此您可以使用它进行一些清理工作。
一个问题是,如果有多个新警报,那么 notify-send 会将警报放在一行中,我找不到解决这个问题的方法,但您可以进行一些修改,或者您可以删除第二部分,然后就可以了让警报告诉您有新警报,甚至不显示它们。
我在桌面上使用 snort,我想在触发规则时看到一个弹出窗口 window。我在 local.rules 中编写了自己的规则。我不使用任何电子邮件系统,所以请忽略邮件选项。日志在 /var/log/snort/alerts 文件中。有什么办法可以成功吗?当写入警报时,我想查看此文件的图形 warn.i 试图编写一个 bash 脚本来检查警报文件,当散列更改时,弹出最后 10 行通知-发送,但我无法实现。请你能帮助我吗? 问候
我认为您可以执行以下操作:
#!/bin/sh
#Get current line count
LINES=`wc -l /var/log/snort/alerts | tr -d -c 0-9`
while [ true ]
do
NEWCOUNT=`wc -l /var/log/snort/alerts | tr -d -c 0-9` #Get new line count
if [ $LINES != $NEWCOUNT ]
then
DIFF=`expr $NEWCOUNT - $LINES` #Get the difference
LINES=$NEWCOUNT #Set the line count to the new count
COMMAND="$(tail -n "$DIFF" alert)" #Get the output of the new lines in the file
echo "$(notify-send "$DIFF new alerts: $COMMAND")"
sleep 5 #sleep 5 seconds
fi
done
这将每 5 秒检查一次新警报,如果你想让它不断检查你可以删除睡眠,但你可能想要使用一秒钟或其他时间。我不是 bash 方面的专家,因此您可以使用它进行一些清理工作。 一个问题是,如果有多个新警报,那么 notify-send 会将警报放在一行中,我找不到解决这个问题的方法,但您可以进行一些修改,或者您可以删除第二部分,然后就可以了让警报告诉您有新警报,甚至不显示它们。