Suricata und das Logging/debuggen...

Tripwire, Guardian, Snort, Squidclamav
Post Reply
lenny
Posts: 405
Joined: October 4th, 2011, 12:47 pm

Suricata und das Logging/debuggen...

Post by lenny » July 6th, 2019, 4:23 pm

Hallo,

mit dem neuen Suricata ist für mich das debuggen deutlich schwerer geworden.
Manchmal zeigt es etwas im IPS Log an, deaktiviere ich die entsprechende Policy, gehts trotzdem nicht.

Deaktiviere ich Suricata komplett, gehts wieder.

Ich habe das Gefühl, dass nicht alles sauber protokolliert wird.

Auch werden gesperrte Hosts nicht angezeigt.

Wie kommt man da besser zum Ziel, zu sehen, an welcher Policy es liegt?

Danke
Image

StephanSandmann
Posts: 19
Joined: August 16th, 2010, 10:22 pm

Re: Suricata und das Logging/debuggen...

Post by StephanSandmann » July 7th, 2019, 1:23 pm

Hallo Lenny,

eigentlich ist das einfach, da Suricata ja kein Intrusion Detection sondern ein Intrusion Prevention Ansatz ist sind alle Einträge unter Protokolle/IPS-Protokolldateien auch tatsächliche Verbindungen die unterbunden wurden.

Wenn bei dir irgend etwas nicht funktioniert dann solltest du einfach mal bei einem geblockten Vorgang mit passendem Zeitstempel die entsprechende/n Regel/n deaktivieren und die Änderung übernehmen.
Ich habe das gerade für einige Dinge aus den Bereichen ET-Info und ET-Policy machen müssen und es hat einwandfrei funktioniert.
Insofern habe zumindestens ich keine Probleme was das Logging angeht. Ich weiss aber, dass es hier mindestens einen weiteren Post gibt in dem es auch um fehlerhaftes bzw. unvollständiges Logging geht.
Für das Entwicklerteam wäre es bestimmt hilfreich zu wissen welche Hardware du einsetzt, was für eine Verbindung du hast und auch wie viele Regeln du aktiv hast. Darüber könnte man schonmal die Lastsituation deiner Ipfire abschätzen.

Grüße
Stephan
Image

Post Reply