Я не могу заставить snort прекратить вход в syslog (auth.log). Насколько я могу судить, это похоже на то, что я работаю с аргументом -s
или с output alert_syslog: LOG_AUTH LOG_ALERT
в конфигурации.Как сделать snort stop alerting для auth.log?
Я бегу snort 2.9.7.0, скомпилированный с ./configure --enable-reload
, и если нет какой-то скрытой опции, мне не хватает, я говорю ей, чтобы log to merged.log был как unified2, и не место.
[email protected]:~$ ps -ef | grep snort
snort 7524 1 1 18:15 ? 00:00:00 /usr/bin/snort -c /etc/snort/snort.conf -i bond0.566 -l /var/log/snort/bond0.566 -D
[email protected]:~$ grep -R '^output' /etc/snort
/etc/snort/snort.conf:output unified2: filename merged.log, limit 128, mpls_event_types, vlan_event_types
Вот некоторые из журналов, которые я вижу
[email protected]:~$ tail -n 10 /var/log/auth.log
Feb 10 18:31:15 snort.example.com snort[32353]: [119:31:1] http_inspect: UNKNOWN METHOD [Classification: Unknown Traffic] [Priority: 3]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:32271 -> xxx.xxx.xxx.xxx:80
Feb 10 18:31:15 snort.example.com snort[32353]: [119:31:1] http_inspect: UNKNOWN METHOD [Classification: Unknown Traffic] [Priority: 3]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:32271 -> xxx.xxx.xxx.xxx:80
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:56534 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:56534 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:5:1] stream5: Bad segment, overlap adjusted size less than/equal 0 [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:5:1] stream5: Bad segment, overlap adjusted size less than/equal 0 [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:2443 -> xxx.xxx.xxx.xxx:80
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:2443 -> xxx.xxx.xxx.xxx:80
Большинство этих оповещений мусор, который я отфильтрует позже, оповещения сами не беспокоит меня, что беспокоит меня что они идут в auth.log, и я не могу понять, почему.
Это все правила декодера и препроцессора (http://manual.snort.org/node18.html), которые предупреждают. У вас есть опция «disable_decode_alerts» в файле snort.conf? Если вы не хотите попробовать добавить это, если вы хотите остановить оповещения. Я все еще не уверен на 100%, почему они предупреждают о syslog, хотя, насколько я знаю, они все равно должны регистрироваться так же, как и обычные правила. – johnjg12
У меня есть «config disable_decode_alerts» в моей конфигурации. Прямо сейчас конфигурация, которую я использую, составляет около 99% акций из 2.9.7.0 tar.gz. В основном я изменил несколько ipvar и vars пути и включил протоколирование unified2. – jescholl
Просто дважды проверяйте, но pid в выводе ps отличается от pid в журналах, это только потому, что snort был перезапущен, а сообщения журнала - из более нового процесса? В противном случае выполняется еще один процесс snort, который не находится в выводе ps? – johnjg12