especificando arquivos de saída do snort?

4

Estou confuso sobre as saídas do snort. Onde os arquivos de saída devem ser especificados?

OU, mais especificamente, tenho dois arquivos sendo gravados (alert e snort.log.xxx), mas tenho apenas um arquivo de saída especificado (snort.log.xx) e estou esperando apenas um arquivo de saída (snort. log.xx).

De onde vem o arquivo de alerta?

Como um aparte, o barnyard2 não está rodando neste momento.

obrigado antecipadamente!

Detalhes:

arquivos sendo escritos são:

$ ls -la / var / snort / eth4

drwxrwxr-x+ 3 snort snort     4096 Oct 11 10:08 .
drwxr-xr-x. 3 snort snort     4096 Oct 11 10:03 ..
-rw-rw-r--+ 1 snort snort 12535192 Oct 11 10:22 alert                 <-
-rw-rw-r--+ 1 snort snort  1345798 Oct  9 03:28 alert-20111009.gz
-rw-rw-r--+ 1 snort snort  1488789 Oct 10 03:36 alert-20111010.gz
-rw-rw-r--+ 1 snort snort  1195682 Oct 11 03:40 alert-20111011.gz
drwxrwxr-x+ 2 snort snort     4096 Oct 11 03:40 archive
-rw-rw-r--+ 1 snort snort   357148 Oct 11 10:22 snort.log.1318356523  <-

Mas o meu /etc/snort/snort.conf só tem uma diretiva de configuração 'output':

   output unified2: filename snort.log, limit 128

E como isso é redhat, use tanto / etc / sysconfig / snort e /etc/init.d/snortd para descobrir onde o destino '-l' é, que eu acho que é:

/var/snort/eth4

aqui está o ps ax | grep snort

6851 ?        Ssl    0:51 /usr/sbin/snort -A fast -b -d -D -I -i eth4 -u snort -g snort -c /etc/snort/snort.conf -l /var/snort/eth4

Examinando os dois arquivos, os alertas parecem com uma lista ascii de analomias, e o snort.log.xxx se parece com um arquivo binário, presumivelmente de captura de fluxo de dados?

Então, de onde vem o arquivo de alerta?

    
por user52874 11.10.2011 / 22:20

2 respostas

3

O aplicativo Snort tem um subsistema de registro bastante robusto. Ao ativar o formato unified log, você deve e está vendo dois tipos de logs:

  1. arquivo de alerta - contém informações de alto nível sobre o evento
  2. arquivo de log - contém informações muito mais detalhadas, incluindo um despejo de pacotes

Ambos os arquivos são gravados no disco em formato binário. Embora isso dificulte a análise do analista, é significativamente mais rápido para o aplicativo. Para um pouco mais, embora não muito, informações do Snort Docs para o plugin de saída unificado seriam uma leitura válida.

Se você quiser uma versão de texto bruto dos alertas acionados, eu recomendaria o tipo de saída syslog . Este é um dos mais flexíveis, pois permite que você gerencie seu registro no host em vez do aplicativo. Além disso, como você tem a opção de linha de comando -d invertida, uma captura de cada pacote que aciona um alerta será salva no formato pcap. Isso ainda lhe dá boas informações para usar em análises falsas positivas.

    
por 12.10.2011 / 04:54
1

O arquivo alert registra os alertas quando um pacote capturado corresponde a uma regra. Vem de ... -A fast que você especifica ao iniciar o Snort.

    
por 12.10.2011 / 05:16

Tags