web-dev-qa-db-ja.com

snortはポートスキャン(sfPortscan)のアラートをsyslogに出力できますか?

私はこれに長い間取り組んできました。答えは明白なはずですが...

Snortマニュアル: http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf 39ページ(Acrobat Readerによると40ページ)の2つのログ出力を「統合出力」としてリストしています。前者が推測している「ログファイル出力」は「統合」出力モードを指していると思います...答えは「いいえ、snortは検出されたポートスキャンのアラートをsyslogに出力できません」と思わせます。

私が使用している設定ファイルは次のとおりです。

alert tcp any 80 -> any any (msg:"TestTestTest"; content: "testtesttest"; sid:123) preprocessor sfportscan: proto  { all } \
                         memcap { 10000000 } \
                         scan_type { all } \
                         sense_level { high } \
                         logfile { pscan.log }

(はい、私が知っている非常に基本的なものです)。

単純なnmapは、pscan.logへの出力をトリガーします

誰かがこれを確認できますか?または私がこれを行う方法を指摘しますか?

syslogsnortintrusion-detection
1
Jamie McNaught

Snortにはいくつかの出力オプションがあります。これには歴史的にsyslogが含まれていましたが、現在含まれていない場合でも、barnyardを使用してsyslogに出力できます(barnyard2も含まれていると思いますが、テストしていません)。

編集

私はあなたの混乱を理解していると思います。ページ96/ マニュアル はsyslogへの(アラート)ロギングの詳細を示しますが、参照するロギングはロギングパケット用です、アラートではありません。

そうです、syslogにアラートを書き込むことはできますが、syslogにパケットを記録することはできません。

1
Cry Havok