A análise de arquivo do Snort PCAP não grava no arquivo de alerta

Navegue suas respostas
3

Estou usando o snort na minha máquina virtual do ubuntu 14.04. Foi assim que instalei o snort. 

sudo apt-get update
sudo apt-get install snort

Eu não alterei /etc/snort/snort.conf ou arquivo de regras. Eles permanecem como padrão e eu fiz a leitura do PCAP usando o seguinte comando. 

sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap

O arquivo PCAP é lido com sucesso e um arquivo snort.log é criado, mas o tamanho desse arquivo é de 0 bytes. Quando instalei o snort, não havia nenhum arquivo de alerta no diretório / var / log / snort. Então criei uma e dei permissão ao dono para snort da seguinte forma. 

sudo chown snort.snort alert

Após a leitura do PCAP, os arquivos snort.log e alert não têm conteúdo (embora a data modificada do snort.log mude para a última data e hora de leitura). Seus tamanhos são 0 bytes. O que eu estou fazendo errado aqui?? Preciso fazer algumas alterações adicionais para os arquivos rules / snort.conf?

    
por A.M.N.Bandara 29.01.2015 / 17:33

1 resposta

0

Parece que o snort não grava o log de alerta ao processar um arquivo pcap, mas deve gravar o log de captura de pacote correto (por exemplo, /var/log/snort/snort.log.1502097194 ).

Como ele não grava o log de alerta, você pode obter snort para gravar as mensagens de log de alerta no syslog usando o sinalizador -s (ou log de eventos no Windows usando -E ), por exemplo: 

snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf

Você deve então ver alertas no syslog, por exemplo: 

$ sudo tail -f /var/log/messages
Aug  7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21

No seu caso, é provável que snort.log não contenha dados porque não foram acionados alertas. Você deve confirmar isso, revisando o syslog ou o relatório de resumo posteriormente, por exemplo: 

Action Stats:
     Alerts:            1 (  5.263%)
     Logged:            1 (  5.263%)
     Passed:            0 (  0.000%)
    
por 07.08.2017 / 11:24

Tags

Falha na inicialização do Arch Linux: a verificação do Fsck na montagem do LVM / var falha Insira os detalhes da autenticação do usuário para uma impressora?