Hallo allerseits
Ich möchte die SNORT Alerts auf meinem Linux Screen mit einem Conky darstellen und gleichzeitig die Allerts im IDS Log der Fire stehen haben.
Nun das Logging über syslog funktioniert prächtig. Hierfür habe ich folgendes geändert:
1.) In der Datei syslog.conf
#local7.* @192.168.0.10
Inder Datei Snort.conf unter output plugins
output alert_syslog: LOG_LOCAL7 LOG_ALERT
Nun zum Problem.. Ich sehe dann leider keine Logs mehr im IDS LOG der Fire. Ich kann mir das einfach nicht erklären. Ich habe ja nirgends das Logging ins IDS LOG der Fire unterbunden.
Allerdings muss ich zugeben, dass ich nicht weiss, wie die SNORT Logs ins IDS LOG der Fire kommen, dann dort steht unter output plugins nichts
Kann sich das jemand erklären, weshalb ich mit den obigen Veränderungen das IDS LOG der Fire unterbinde?
Danke für jeden Hinweis.
Beat
Snort mit syslog und lokalem Log geht nicht
-
aesis
Re: Snort mit syslog und lokalem Log geht nicht
Hat das IDS Logging denn vorher funktioniert? Bei mir funktioniert es auch nicht: http://forum.ipfire.org//viewtopic.php? ... n#msg65660
und ich bin nicht alleine.
und ich bin nicht alleine.
Re: Snort mit syslog und lokalem Log geht nicht
Hi,
hast du schon einmal in den Logs nachgesehen ob diese dort noch liegen?
nicht das er die komplett an dein syslog weitergibt ohne diese selbst vorzuhalten.
VG, 5p9
edit: So wie ich das verstehe in der Doku zum Output-Modul sollte eigentlich in das Verzeichnis wie angegeben protokolliert werden ein forward an dein syslog statt finden.
http://manual.snort.org/node21.html
http://commons.oreilly.com/wiki/index.p ... m_Logfiles
Ich sehe dann leider keine Logs mehr im IDS LOG der Fire.
hast du schon einmal in den Logs nachgesehen ob diese dort noch liegen?
Code: Select all
/var/log/snort/alertVG, 5p9
edit: So wie ich das verstehe in der Doku zum Output-Modul sollte eigentlich in das Verzeichnis wie angegeben protokolliert werden ein forward an dein syslog statt finden.
As with the standard logging and alerting systems, output plugins send their data to /var/log/snort by default or to a user directed directory
http://manual.snort.org/node21.html
http://commons.oreilly.com/wiki/index.p ... m_Logfiles
Last edited by Guest on March 13th, 2014, 7:27 am, edited 1 time in total.
Re: Snort mit syslog und lokalem Log geht nicht
aesis wrote:Hat das IDS Logging denn vorher funktioniert? Bei mir funktioniert es auch nicht: http://forum.ipfire.org//viewtopic.php? ... n#msg65660
und ich bin nicht alleine.
Doch, hat bei mir immer funktioniert. Allerdings gehts nur mit den Emergingthreats rules. Rest geht nicht. Allerdings war dann auch der Dienst nicht up. Wie geschrieben. Wenn ich meine Zeilen wieder raus nehme aus den beiden Configs, dann loggt Snort wieder friedlich lokal.
Re: Snort mit syslog und lokalem Log geht nicht
5p9 wrote:Hi,
hast du schon einmal in den Logs nachgesehen ob diese dort noch liegen?nicht das er die komplett an dein syslog weitergibt ohne diese selbst vorzuhalten.Code: Select all
/var/log/snort/alert
VG, 5p9
edit: So wie ich das verstehe in der Doku zum Output-Modul sollte eigentlich in das Verzeichnis wie angegeben protokolliert werden ein forward an dein syslog statt finden.
http://manual.snort.org/node21.html
http://commons.oreilly.com/wiki/index.p ... m_Logfiles
Hallo.. Ja, die Logs sind noch unter /var/log/snort/alert. Allerdings werden die nun nicht mehr befüllt. Weisst Du wo in der Snort.conf das Statement steht für das Logging für die IPfire lokal?
Re: Snort mit syslog und lokalem Log geht nicht
Hi,
Snort.conf http://git.ipfire.org/?p=ipfire-2.x.git ... 9e07996b37
Hier steht zumindestens das hier da:
Jedoch hat dies keine Auswirkung auf das Log. Das wird wohl schon beim build fix angegeben sein, das snort nach /var/log/snort/alert einfließen soll.
Hier sagt er ja gleich wo das log liegt:
Unter /var/ipfire/snort/settings wird wohl das über die WUI hinterlegte Wunschsetting abgelegt sein, da zumindesstens verweist er auf die alerts.
VG, 5p9
Snort.conf http://git.ipfire.org/?p=ipfire-2.x.git ... 9e07996b37
Hier steht zumindestens das hier da:
Code: Select all
155 # Configure default log directory for snort to log to. For more information see snort -h command line options (-l)
156 #
157 # config logdir:
Jedoch hat dies keine Auswirkung auf das Log. Das wird wohl schon beim build fix angegeben sein, das snort nach /var/log/snort/alert einfließen soll.
Hier sagt er ja gleich wo das log liegt:
Code: Select all
--== Initializing Snort ==--
Initializing Output Plugins!
Log directory = /var/log/snort
...
...
Unter /var/ipfire/snort/settings wird wohl das über die WUI hinterlegte Wunschsetting abgelegt sein, da zumindesstens verweist er auf die alerts.
VG, 5p9
Last edited by Guest on March 13th, 2014, 3:15 pm, edited 1 time in total.
Re: Snort mit syslog und lokalem Log geht nicht
Hi
Nun, ich habe meine Aenderungen wieder rückgängig gemacht, da ja das IPS nicht mehr funktioniert, wenn es nicht auf das LOG von SNORT zugreifen kann. Irgendiwe bin ich nicht dahinter gekommen weshalb das default Logging nicht mehr funktioniert, wenn ich Syslog anschalte. Ich glaube, dass das irgend etwas überschreibt. Default = X solange nichts anderes steht. Jetzt habe ich eben Syslog gewählt, was Default übersteuert. Leider habe ich nicht gefunden wo das genau angegeben wird.
Falls da jemand Licht ins Dunkle birgen könnte wär das toll.
Ich werde nun die syslog Funktion von der IPFire verwenden um alle Logs zu senden und werde dann halt nur die interessanten rausfiltern..
Danke und Grüsse Beat
Nun, ich habe meine Aenderungen wieder rückgängig gemacht, da ja das IPS nicht mehr funktioniert, wenn es nicht auf das LOG von SNORT zugreifen kann. Irgendiwe bin ich nicht dahinter gekommen weshalb das default Logging nicht mehr funktioniert, wenn ich Syslog anschalte. Ich glaube, dass das irgend etwas überschreibt. Default = X solange nichts anderes steht. Jetzt habe ich eben Syslog gewählt, was Default übersteuert. Leider habe ich nicht gefunden wo das genau angegeben wird.
Falls da jemand Licht ins Dunkle birgen könnte wär das toll.
Ich werde nun die syslog Funktion von der IPFire verwenden um alle Logs zu senden und werde dann halt nur die interessanten rausfiltern..
Danke und Grüsse Beat
Re: Snort mit syslog und lokalem Log geht nicht
laupb wrote:Hi
Nun, ich habe meine Aenderungen wieder rückgängig gemacht, da ja das IPS nicht mehr funktioniert, wenn es nicht auf das LOG von SNORT zugreifen kann. Irgendiwe bin ich nicht dahinter gekommen weshalb das default Logging nicht mehr funktioniert, wenn ich Syslog anschalte. Ich glaube, dass das irgend etwas überschreibt. Default = X solange nichts anderes steht. Jetzt habe ich eben Syslog gewählt, was Default übersteuert. Leider habe ich nicht gefunden wo das genau angegeben wird.
Falls da jemand Licht ins Dunkle birgen könnte wär das toll.
Ich werde nun die syslog Funktion von der IPFire verwenden um alle Logs zu senden und werde dann halt nur die interessanten rausfiltern..
Danke und Grüsse Beat
Und zur Info.. Kaum wieder rückgängig gemacht. Funktioniert das IDS Logging wieder.. schon spannend..
Re: Snort mit syslog und lokalem Log geht nicht
Hi,
die Facility für das Snortlog sieht eigentlich richtig aus.
Es scheint ja fast so zu sein, das ohne syslog alles wie ipfire.snort.default, wenn syslog.snort.change dann nur diesen anwenden läuft.
Kann man eigentlich zwei x den gleichen Facility in der syslog verwenden?
So wie:
VG, 5p9
edit: Hab da noch etwas nettes gefunden als Lektüre - http://www.cisco.com/c/en/us/products/c ... 57812.html
die Facility für das Snortlog sieht eigentlich richtig aus.
Default = X solange nichts anderes steht.
Es scheint ja fast so zu sein, das ohne syslog alles wie ipfire.snort.default, wenn syslog.snort.change dann nur diesen anwenden läuft.
Kann man eigentlich zwei x den gleichen Facility in der syslog verwenden?
So wie:
Code: Select all
local7.* @192.168.0.10Code: Select all
local7.* -/var/log/snort/alertVG, 5p9
edit: Hab da noch etwas nettes gefunden als Lektüre - http://www.cisco.com/c/en/us/products/c ... 57812.html
Last edited by Guest on March 14th, 2014, 7:26 am, edited 1 time in total.
Re: Snort mit syslog und lokalem Log geht nicht
Ja das sollte so geht:
In syslog.conf schreibst Du
local7.debug /path to log file
local7.alert @IP of syslog Server
In der Snort.conf schreibst Du dann
Output alert_syslog: LOG_LOCAL7 LOG_ALERT
Output alert_syslog: LOG_LOCAL7 LOG_DEBUG
Wie gesagt, ich möchte aber rausfinden wo denn das standard logging für Snort definiert wird, denn in den Output Modules steht ja nichts. Ich weiss, dass man Snort diese Parameter auch bei Start übergeben kann. Leider weiss ich nicht, wo ich das auf der Fire nachschauen kannst. Weisst Du wo das Startscript für Snort zu finden ist?
Danke und Grüsse
Beat
In syslog.conf schreibst Du
local7.debug /path to log file
local7.alert @IP of syslog Server
In der Snort.conf schreibst Du dann
Output alert_syslog: LOG_LOCAL7 LOG_ALERT
Output alert_syslog: LOG_LOCAL7 LOG_DEBUG
Wie gesagt, ich möchte aber rausfinden wo denn das standard logging für Snort definiert wird, denn in den Output Modules steht ja nichts. Ich weiss, dass man Snort diese Parameter auch bei Start übergeben kann. Leider weiss ich nicht, wo ich das auf der Fire nachschauen kannst. Weisst Du wo das Startscript für Snort zu finden ist?
Danke und Grüsse
Beat