2015-02-10 2 views
0

Я не могу заставить snort прекратить вход в syslog (auth.log). Насколько я могу судить, это похоже на то, что я работаю с аргументом -s или с output alert_syslog: LOG_AUTH LOG_ALERT в конфигурации.Как сделать snort stop alerting для auth.log?

Я бегу snort 2.9.7.0, скомпилированный с ./configure --enable-reload, и если нет какой-то скрытой опции, мне не хватает, я говорю ей, чтобы log to merged.log был как unified2, и не место.

[email protected]:~$ ps -ef | grep snort 
snort  7524  1 1 18:15 ?  00:00:00 /usr/bin/snort -c /etc/snort/snort.conf -i bond0.566 -l /var/log/snort/bond0.566 -D 

[email protected]:~$ grep -R '^output' /etc/snort 
/etc/snort/snort.conf:output unified2: filename merged.log, limit 128, mpls_event_types, vlan_event_types 

Вот некоторые из журналов, которые я вижу

[email protected]:~$ tail -n 10 /var/log/auth.log 
Feb 10 18:31:15 snort.example.com snort[32353]: [119:31:1] http_inspect: UNKNOWN METHOD [Classification: Unknown Traffic] [Priority: 3]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:32271 -> xxx.xxx.xxx.xxx:80 
Feb 10 18:31:15 snort.example.com snort[32353]: [119:31:1] http_inspect: UNKNOWN METHOD [Classification: Unknown Traffic] [Priority: 3]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:32271 -> xxx.xxx.xxx.xxx:80 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:56534 -> xxx.xxx.xxx.xxx:443 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:56534 -> xxx.xxx.xxx.xxx:443 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:5:1] stream5: Bad segment, overlap adjusted size less than/equal 0 [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:5:1] stream5: Bad segment, overlap adjusted size less than/equal 0 [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:2443 -> xxx.xxx.xxx.xxx:80 
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:2443 -> xxx.xxx.xxx.xxx:80 

Большинство этих оповещений мусор, который я отфильтрует позже, оповещения сами не беспокоит меня, что беспокоит меня что они идут в auth.log, и я не могу понять, почему.

+0

Это все правила декодера и препроцессора (http://manual.snort.org/node18.html), которые предупреждают. У вас есть опция «disable_decode_alerts» в файле snort.conf? Если вы не хотите попробовать добавить это, если вы хотите остановить оповещения. Я все еще не уверен на 100%, почему они предупреждают о syslog, хотя, насколько я знаю, они все равно должны регистрироваться так же, как и обычные правила. – johnjg12

+0

У меня есть «config disable_decode_alerts» в моей конфигурации. Прямо сейчас конфигурация, которую я использую, составляет около 99% акций из 2.9.7.0 tar.gz. В основном я изменил несколько ipvar и vars пути и включил протоколирование unified2. – jescholl

+0

Просто дважды проверяйте, но pid в выводе ps отличается от pid в журналах, это только потому, что snort был перезапущен, а сообщения журнала - из более нового процесса? В противном случае выполняется еще один процесс snort, который не находится в выводе ps? – johnjg12

ответ

0

Я бы проверял, чтобы snort был фактически ответственным процессом для создания этих журналов. Я видел случаи, когда barnyard2 появляется в журналах, как будто это было snort, генерирующее журналы, которые никого не бросали. В /etc/barnyard2.conf, или любой другой файл конфигурации, вы, вероятно, увидите линию, говоря отправлять уведомления системный журнал, так же, как это:

output alert_syslog: LOG_AUTH LOG_INFO 

Вы хотите редактировать эту строку так barnyard2 будет как вы хотите.

Смежные вопросы