snort出力ファイルを指定しますか?
Snortの出力について混乱しています。出力ファイルはどこに指定することになっていますか?
または、より具体的には、2つのファイル(alertとsnort.log.xxx)が書き込まれていますが、1つの出力ファイル(snort.log.xx)しか指定されておらず、1つの出力ファイル(snort.log.xx)のみが必要です。 )。
アラートファイルはどこから来ていますか?
余談ですが、現時点ではbarnyard2は実行されていません。
前もって感謝します!
詳細:
書き込まれるファイルは次のとおりです。
$ ls -la/var/snort/eth4
drwxrwxr-x+ 3 snort snort 4096 Oct 11 10:08 .
drwxr-xr-x. 3 snort snort 4096 Oct 11 10:03 ..
-rw-rw-r--+ 1 snort snort 12535192 Oct 11 10:22 alert <-
-rw-rw-r--+ 1 snort snort 1345798 Oct 9 03:28 alert-20111009.gz
-rw-rw-r--+ 1 snort snort 1488789 Oct 10 03:36 alert-20111010.gz
-rw-rw-r--+ 1 snort snort 1195682 Oct 11 03:40 alert-20111011.gz
drwxrwxr-x+ 2 snort snort 4096 Oct 11 03:40 archive
-rw-rw-r--+ 1 snort snort 357148 Oct 11 10:22 snort.log.1318356523 <-
しかし、私の/etc/snort/snort.confには「出力」構成ディレクティブが1つしかありません。
output unified2: filename snort.log, limit 128
これはRedHatなので、/ etc/sysconfig/snortと/etc/init.d/snortdの両方を使用して、ターゲット '-l'がどこにあるかを把握する必要があります。
/var/snort/eth4
これがps斧です| grep snort
6851 ? Ssl 0:51 /usr/sbin/snort -A fast -b -d -D -I -i eth4 -u snort -g snort -c /etc/snort/snort.conf -l /var/snort/eth4
2つのファイルを調べると、アラートはアナログのASCIIリストのように見え、snort.log.xxxはおそらくデータストリームキャプチャのバイナリファイルのように見えますか?
では、アラートファイルはどこから来ているのでしょうか。
Snortアプリケーションには、かなり堅牢なロギングサブシステムがあります。 unifiedログ形式を有効にすると、2種類のログが表示されるはずです。
- アラートファイル-イベントに関する高レベルの情報が含まれています
- ログファイル-パケットダンプを含むはるかに詳細な情報が含まれています
両方のファイルがバイナリ形式でディスクに書き込まれます。これにより、アナリストが確認することが難しくなりますが、アプリケーションの方が大幅に速くなります。少しではありますが、それほど多くはありませんが、Snortドキュメントの 統合出力プラグイン に関する情報は一読に値します。
トリガーされたアラートの生のテキストバージョンが必要な場合は、 syslog 出力タイプをお勧めします。これは、アプリケーションではなくホストでのロギングを管理できるため、より柔軟なものの1つです。さらに、-dコマンドラインスイッチが切り替えられているため、アラートをトリガーする各パケットのキャプチャがpcap形式で保存されます。これでも、誤検知分析で使用するための適切な情報が得られます。
alertファイルは、キャプチャされたパケットがルールに一致したときにアラートをログに記録します。それはから来ています... -A fastSnortの起動時に指定します。