ubuntu 上安装的 Snort 未向系统日志发送警报
Snort installed on ubuntu not sending alerts to syslog
我在基于 Bitnami 的 linux 机器上设置了 Magento 网站
现成的图像。
主要目标是在网站可能受到攻击时通过电子邮件收到通知。
为了实现这一点,我决定安装 Snort IDS 并使用 Swatch 通过电子邮件将警报发送到系统日志。
我已经按照 this tutorial 从 Snort 的官方网站安装了 snort。
我刚刚完成了该教程的第 9 部分,这意味着:
- 安装了所有的附属品。
- 在机器上安装了 Snort IDS。
- 设置一个测试规则以在发生 ICMP 请求 (ping) 时发出警报。
接下来允许 Snort 将警报记录到系统日志中,我在 snort.conf 文件中取消了对这一行的注释:
输出 alert_syslog: LOG_AUTH LOG_ALERT
我已经通过 运行 这个命令测试了安装:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
当 Snort 处于 运行 时,我从另一个系统发出了 ping 请求。
我可以看到警报在 Snort 的日志文件中注册,但是 系统日志中没有添加任何内容。
线索和错误:
运行 snort 作为用户 root。
设置系统日志以将日志反弹到另一台服务器(远程系统日志)。
我在 linux 方面没有太多经验,因此非常感谢任何帮助我指明正确方向的人。
一些事实:
- Bitnami Magento Stack 1.9.1.0-0
- Ubuntu 14.04.3 LTS
- 喷鼻息 2.9.7.5
我也在 linuxquestions.org 上发布了这个问题并得到了答案。
在 unSpawn 回复之后,我查看了 rsyslog conf 文件,发现 auth 日志被发送到 auto.log 文件。
这导致了向 /etc/rsyslog.d 添加额外的 .conf 文件的快速修复,其内容为:
auth /var/log/syslog
此外,我还按照建议对 snort 执行命令进行了一些更改(省略了 -q -A 控制台):
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
重新启动 rsyslog 服务后,我在 syslog 中发现了丢失的 Snort 警报。
我在基于 Bitnami 的 linux 机器上设置了 Magento 网站 现成的图像。
主要目标是在网站可能受到攻击时通过电子邮件收到通知。
为了实现这一点,我决定安装 Snort IDS 并使用 Swatch 通过电子邮件将警报发送到系统日志。
我已经按照 this tutorial 从 Snort 的官方网站安装了 snort。
我刚刚完成了该教程的第 9 部分,这意味着:
- 安装了所有的附属品。
- 在机器上安装了 Snort IDS。
- 设置一个测试规则以在发生 ICMP 请求 (ping) 时发出警报。
接下来允许 Snort 将警报记录到系统日志中,我在 snort.conf 文件中取消了对这一行的注释: 输出 alert_syslog: LOG_AUTH LOG_ALERT
我已经通过 运行 这个命令测试了安装:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
当 Snort 处于 运行 时,我从另一个系统发出了 ping 请求。 我可以看到警报在 Snort 的日志文件中注册,但是 系统日志中没有添加任何内容。
线索和错误:
运行 snort 作为用户 root。
设置系统日志以将日志反弹到另一台服务器(远程系统日志)。
我在 linux 方面没有太多经验,因此非常感谢任何帮助我指明正确方向的人。
一些事实:
- Bitnami Magento Stack 1.9.1.0-0
- Ubuntu 14.04.3 LTS
- 喷鼻息 2.9.7.5
我也在 linuxquestions.org 上发布了这个问题并得到了答案。
在 unSpawn 回复之后,我查看了 rsyslog conf 文件,发现 auth 日志被发送到 auto.log 文件。 这导致了向 /etc/rsyslog.d 添加额外的 .conf 文件的快速修复,其内容为:
auth /var/log/syslog
此外,我还按照建议对 snort 执行命令进行了一些更改(省略了 -q -A 控制台):
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
重新启动 rsyslog 服务后,我在 syslog 中发现了丢失的 Snort 警报。