форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Обнаружение и предотвращение атак / Linux)
Изначальное сообщение		[ Отслеживать ]

"Snort + syslog не работают"	+/–
Сообщение от kort on 27-Янв-11, 15:56
Здравствуйте! Ситуация следующия - snort настроен направлять алерты на syslog локальный, а последний в свою очередь отсылает на удалённый сервер эти логи. Проблема в следующем - сразу после старта на удалённый syslog приходят алерты в большом количестве (и это нормально), но буквально через 5-10 секунд всё прекращается. После этого идут одиночные алерты (а это уже ненормально). Если snort перезапустить, то он опять несколько секунд шлёт алерты, а затем тишина. В чём может быть причина, кто-нибудь сталкивался с таким?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Snort + syslog не работают"	+/–
Сообщение от Aquarius (ok) on 27-Янв-11, 16:19
> Здравствуйте! > Ситуация следующия - snort настроен направлять алерты на syslog локальный, а последний > в свою очередь отсылает на удалённый сервер эти логи. > Проблема в следующем - сразу после старта на удалённый syslog приходят алерты > в большом количестве (и это нормально), но буквально через 5-10 секунд > всё прекращается. После этого идут одиночные алерты (а это уже ненормально). > Если snort перезапустить, то он опять несколько секунд шлёт алерты, а > затем тишина. > В чём может быть причина, кто-нибудь сталкивался с таким? настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Snort + syslog не работают"	+/–
	Сообщение от kort on 27-Янв-11, 16:34
	> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина..... значит дело не в связи, а или в локальном syslog-е, либо в snort-e. А файл конфигурации syslog-a должен быть: !snort *.*     @IP Или я видел такой вариант: !snort local4.*     @IP
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Snort + syslog не работают"	+/–
	Сообщение от Aquarius (ok) on 27-Янв-11, 17:54
	>> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните > Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина..... а результат сравнения?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Snort + syslog не работают"	+/–
	Сообщение от Ivan (??) on 31-Янв-11, 11:07
	>>> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните >> Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина..... > а результат сравнения? Что падает на удалённый сислог, то падает и на локальный.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Snort + syslog не работают"	+/–
	Сообщение от Aquarius (ok) on 01-Фев-11, 20:08
	>>>> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните >>> Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина..... >> а результат сравнения? > Что падает на удалённый сислог, то падает и на локальный. выводы?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Snort + syslog не работают"	+/–
Сообщение от sasku (ok) on 18-Авг-11, 14:42
ребят, а не подскажете, есть ли репозитарий для RHEL6 или CentOS6 или SL6 где был бы snort. можно конечно собрать с исходников, но хотелось бы, готовое :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема