Snort mit syslog und lokalem Log geht nicht

Post Reply
laupb
Posts: 103
Joined: March 30th, 2013, 8:29 pm

Snort mit syslog und lokalem Log geht nicht

Post by laupb » March 12th, 2014, 10:20 pm

Hallo allerseits

Ich möchte die SNORT Alerts auf meinem Linux Screen mit einem Conky darstellen und gleichzeitig die Allerts im IDS Log der Fire stehen haben.

Nun das Logging über syslog funktioniert prächtig. Hierfür habe ich folgendes geändert:

1.) In der Datei syslog.conf

#local7.* @192.168.0.10

Inder Datei Snort.conf unter output plugins

output alert_syslog: LOG_LOCAL7 LOG_ALERT

Nun zum Problem.. Ich sehe dann leider keine Logs mehr im IDS LOG der Fire. Ich kann mir das einfach nicht erklären. Ich habe ja nirgends das Logging ins IDS LOG der Fire unterbunden.

Allerdings muss ich zugeben, dass ich nicht weiss, wie die SNORT Logs ins IDS LOG der Fire kommen, dann dort steht unter output plugins nichts

Kann sich das jemand erklären, weshalb ich mit den obigen Veränderungen das IDS LOG der Fire unterbinde?

Danke für jeden Hinweis.

Beat

aesis

Re: Snort mit syslog und lokalem Log geht nicht

Post by aesis » March 12th, 2014, 10:51 pm

Hat das IDS Logging denn vorher funktioniert? Bei mir funktioniert es auch nicht: http://forum.ipfire.org//viewtopic.php? ... n#msg65660

und ich bin nicht alleine.

5p9
Mentor
Mentor
Posts: 1865
Joined: May 1st, 2011, 3:27 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by 5p9 » March 13th, 2014, 7:04 am

Hi,

Ich sehe dann leider keine Logs mehr im IDS LOG der Fire.

hast du schon einmal in den Logs nachgesehen ob diese dort noch liegen?

Code: Select all

/var/log/snort/alert
nicht das er die komplett an dein syslog weitergibt ohne diese selbst vorzuhalten.

VG, 5p9

edit: So wie ich das verstehe in der Doku zum Output-Modul sollte eigentlich in das Verzeichnis wie angegeben protokolliert werden ein forward an dein syslog statt finden.
As with the standard logging and alerting systems, output plugins send their data to /var/log/snort by default or to a user directed directory


http://manual.snort.org/node21.html

http://commons.oreilly.com/wiki/index.p ... m_Logfiles
Last edited by Guest on March 13th, 2014, 7:27 am, edited 1 time in total.
Mail Gateway: mail proxy

Image

Image

laupb
Posts: 103
Joined: March 30th, 2013, 8:29 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by laupb » March 13th, 2014, 1:03 pm

aesis wrote:Hat das IDS Logging denn vorher funktioniert? Bei mir funktioniert es auch nicht: http://forum.ipfire.org//viewtopic.php? ... n#msg65660

und ich bin nicht alleine.


Doch, hat bei mir immer funktioniert. Allerdings gehts nur mit den Emergingthreats rules. Rest geht nicht. Allerdings war dann auch der Dienst nicht up. Wie geschrieben. Wenn ich meine Zeilen wieder raus nehme aus den beiden Configs, dann loggt Snort wieder friedlich lokal.

laupb
Posts: 103
Joined: March 30th, 2013, 8:29 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by laupb » March 13th, 2014, 1:17 pm

5p9 wrote:Hi,
hast du schon einmal in den Logs nachgesehen ob diese dort noch liegen?

Code: Select all

/var/log/snort/alert
nicht das er die komplett an dein syslog weitergibt ohne diese selbst vorzuhalten.

VG, 5p9

edit: So wie ich das verstehe in der Doku zum Output-Modul sollte eigentlich in das Verzeichnis wie angegeben protokolliert werden ein forward an dein syslog statt finden.
http://manual.snort.org/node21.html

http://commons.oreilly.com/wiki/index.p ... m_Logfiles


Hallo.. Ja, die Logs sind noch unter /var/log/snort/alert. Allerdings werden die nun nicht mehr befüllt. Weisst Du wo in der Snort.conf das Statement steht für das Logging für die IPfire lokal?

5p9
Mentor
Mentor
Posts: 1865
Joined: May 1st, 2011, 3:27 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by 5p9 » March 13th, 2014, 1:49 pm

Hi,

Snort.conf http://git.ipfire.org/?p=ipfire-2.x.git ... 9e07996b37

Hier steht zumindestens das hier da:

Code: Select all

155 # Configure default log directory for snort to log to.  For more information see snort -h command line options (-l)
156 #
157 # config logdir:


Jedoch hat dies keine Auswirkung auf das Log. Das wird wohl schon beim build fix angegeben sein, das snort nach /var/log/snort/alert einfließen soll.

Hier sagt er ja gleich wo das log liegt:

Code: Select all

--== Initializing Snort ==--
Initializing Output Plugins!
Log directory = /var/log/snort
...
...


Unter /var/ipfire/snort/settings wird wohl das über die WUI hinterlegte Wunschsetting abgelegt sein, da zumindesstens verweist er auf die alerts.

VG, 5p9
Last edited by Guest on March 13th, 2014, 3:15 pm, edited 1 time in total.
Mail Gateway: mail proxy

Image

Image

laupb
Posts: 103
Joined: March 30th, 2013, 8:29 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by laupb » March 13th, 2014, 7:54 pm

Hi

Nun, ich habe meine Aenderungen wieder rückgängig gemacht, da ja das IPS nicht mehr funktioniert, wenn es nicht auf das LOG von SNORT zugreifen kann. Irgendiwe bin ich nicht dahinter gekommen weshalb das default Logging nicht mehr funktioniert, wenn ich Syslog anschalte. Ich glaube, dass das irgend etwas überschreibt. Default = X solange nichts anderes steht. Jetzt habe ich eben Syslog gewählt, was Default übersteuert. Leider habe ich nicht gefunden wo das genau angegeben wird.

Falls da jemand Licht ins Dunkle birgen könnte wär das toll.

Ich werde nun die syslog Funktion von der IPFire verwenden um alle Logs zu senden und werde dann halt nur die interessanten rausfiltern..

Danke und Grüsse Beat

laupb
Posts: 103
Joined: March 30th, 2013, 8:29 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by laupb » March 13th, 2014, 7:56 pm

laupb wrote:Hi

Nun, ich habe meine Aenderungen wieder rückgängig gemacht, da ja das IPS nicht mehr funktioniert, wenn es nicht auf das LOG von SNORT zugreifen kann. Irgendiwe bin ich nicht dahinter gekommen weshalb das default Logging nicht mehr funktioniert, wenn ich Syslog anschalte. Ich glaube, dass das irgend etwas überschreibt. Default = X solange nichts anderes steht. Jetzt habe ich eben Syslog gewählt, was Default übersteuert. Leider habe ich nicht gefunden wo das genau angegeben wird.

Falls da jemand Licht ins Dunkle birgen könnte wär das toll.

Ich werde nun die syslog Funktion von der IPFire verwenden um alle Logs zu senden und werde dann halt nur die interessanten rausfiltern..

Danke und Grüsse Beat


Und zur Info.. Kaum wieder rückgängig gemacht. Funktioniert das IDS Logging wieder.. schon spannend..

5p9
Mentor
Mentor
Posts: 1865
Joined: May 1st, 2011, 3:27 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by 5p9 » March 14th, 2014, 7:22 am

Hi,

die Facility für das Snortlog sieht eigentlich richtig aus.
Default = X solange nichts anderes steht.

Es scheint ja fast so zu sein, das ohne syslog alles wie ipfire.snort.default, wenn syslog.snort.change dann nur diesen anwenden läuft.

Kann man eigentlich zwei x den gleichen Facility in der syslog verwenden?
So wie:

Code: Select all

local7.* @192.168.0.10

Code: Select all

local7.* -/var/log/snort/alert


VG, 5p9

edit: Hab da noch etwas nettes gefunden als Lektüre - http://www.cisco.com/c/en/us/products/c ... 57812.html
Last edited by Guest on March 14th, 2014, 7:26 am, edited 1 time in total.
Mail Gateway: mail proxy

Image

Image

laupb
Posts: 103
Joined: March 30th, 2013, 8:29 pm

Re: Snort mit syslog und lokalem Log geht nicht

Post by laupb » March 14th, 2014, 9:02 pm

Ja das sollte so geht:

In syslog.conf schreibst Du

local7.debug /path to log file
local7.alert @IP of syslog Server

In der Snort.conf schreibst Du dann

Output alert_syslog: LOG_LOCAL7 LOG_ALERT
Output alert_syslog: LOG_LOCAL7 LOG_DEBUG

Wie gesagt, ich möchte aber rausfinden wo denn das standard logging für Snort definiert wird, denn in den Output Modules steht ja nichts. Ich weiss, dass man Snort diese Parameter auch bei Start übergeben kann. Leider weiss ich nicht, wo ich das auf der Fire nachschauen kannst. Weisst Du wo das Startscript für Snort zu finden ist?

Danke und Grüsse

Beat

Post Reply