Eu gostaria de enviar alertas de snort por e-mail do meu Debian Lenny fw. O syslog está enviando mensagens de log dos firewalls para um rsyslog central.
No meu rsyslog central, tenho algo como:
$ModLoad ommail
$ActionMailSMTPServer server.company.local
$ActionMailFrom [email protected]
$ActionMailTo [email protected]
$ActionExecOnlyOnceEveryInterval 1
$template mailSubject,"[SNORT] Alert from %hostname%"
$template mailBody,"Snort message\r\nmsg='%msg%'"
$ActionMailSubject mailSubject
if $msg regexp 'snort\[[0-9]*\]: \[[0-9]*:[0-9]*:[0-9]*].*' then ommail:;mailBody
Mas eu não recebo nenhum e-mail, eu até posso acionar snort com algo como ping -s 1400 , ele registra coisas como seguir, mas ainda sem e-mail!
2010-01-08T09:25:58+00:00 Hostname snort[4429]: [1:499:4] ICMP Large ICMP Packet [Classification: Potentially Bad Traffic] [Priority: 2]: {ICMP} ip_dest -> ip_src
Você está sem dois pontos na frente do ommail.
if $msg regexp 'snort[[0-9]]: [[0-9]:[0-9]:[0-9]].*' then :ommail:;mailBody
Eu não posso falar pela precisão do seu RegEx, mas você pode tentar 'contém' em vez de 'regex' e tentar um teste mais simples para restringir o problema se ele persistir além da sintaxe mencionada acima.
Também recomendo aumentar $ ActionExecOnlyOnceEveryInterval depois de classificar as coisas.
Eu acabei de testar o rsyslog nesta semana e encontrar alguns bugs nele. Eu atualizei para backuports e tudo funciona agora. Você pode tentar, já que é uma grande atualização.
Eu lutei com isso sozinho e posso confirmar que a seguinte combinação de rsyslog e sintaxe funciona (eu tenho isso em produção agora). Eu tenho o Ubuntu 10.4.1 que vem com o rsyslog 4.2 por algum motivo estranho (é bem antigo). Então, depois de removê-lo e instalar o 4.6.4.1, estou em funcionamento.
Obtenha o rsyslog 4.6.4.1 do repo Debian Squeeze aqui . A versão 4.6.4 (ou uma ou duas versões anteriores, não se lembra agora) corrige um bug no ActionExecOnlyOnceEveryInterval que está sendo ignorado.
Eu uso a seguinte sintaxe para o Snort e posso confirmar que está realmente funcionando:
$IncludeConfig /etc/rsyslog.d/mail-settings.conf
$template mailSubjectSnort,"Snort Alert"
$template mailBodySnort,"this is the body, here's the host: %hostname%, here's the time it was reported: %timereported% and heres the message: %msg%"
$ActionMailSubject mailSubjectSnort
# make sure we receive an email only once per hour
$ActionExecOnlyOnceEveryInterval 3600
:msg, contains, "some_string" :ommail:;mailBodySnort
Eu divido meus vários dispositivos de log em arquivos de log separados com um arquivo .conf correspondente. Também defino as diretivas do servidor de email em um arquivo chamado mail-settings.conf que incluo no início de cada conf.
Eu também uso um nome exclusivo para cada variável de modelo ( mailBodySnort , mailBodySquid , etc.) em cada conf, pois parece ser uma constante no fato de que cada inclusão subsequente de outro arquivo .conf não t sobrescreva o valor atribuído em um .conf anterior.
Desmistificando um antigo, mas como o problema ainda pode atacar aqueles que estão executando o Debian Squeeze, mesmo com o rsyslog de backports (5.8.11-1 ~ bpo60 + 2 no momento), pode valer a pena compartilhá-lo graças a @abeverley < um href="http://kb.monitorware.com/actionexeconlyonceeveryinterval-front-t11255.html#p21836"> aqui , eu poderia resolver esse problema redefinindo o valor "adicionando $ActionExecOnlyOnceEveryInterval 0 no final do regras de notificação por email ".
Por exemplo, aqui está agora meu /etc/rsyslog.d/bonding.conf :
$template bondingMailSubject,"%hostname%: bonding Event"
$template bondingMailBody,"%msg%"
$ActionMailSubject bondingMailSubject
$ActionMailTo root
$ActionExecOnlyOnceEveryInterval 300
if $programname == 'bonding' and ($msg contains 'WARNING' or $msg contains 'CRITICAL') then :ommail:;bondingMailBody
$ActionExecOnlyOnceEveryInterval 0