Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Почему мои логи Snort кажутся пустыми?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Проблемы с правами доступа
  4. 2. Настройки конфигурации Snort
  5. 3. Запуск Snort и Barnyard2
  6. 4. Проверка сетевого интерфейса
  7. 5. Мониторинг логов Barnyard2
  8. Заключение

Вопрос или проблема

Итак, я следовал руководству по установке Snort, Barnyard 2 и подобного.

Я настроил Snort так, чтобы он запускался автоматически, отредактировав файл rc.local:

ifconfig eth1 up

/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D

Затем я перезагрузил компьютер. Snort смог запуститься и обнаружить атаку, но лог-файлы (включая barnyard2.waldo) остались пустыми, даже если для каждой атаки создавался новая запись в логе.

Я не уверен, что пошло не так, ведь он должен регистрировать любые атаки и сохранять их в каталоге журналов, верно?

Затем я попытался изменить параметр на:

    /usr/local/snort/bin/snort -D -b -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1

И когда я проверил лог-файл, я увидел два лог-файла, один в формате u2 и другой в формате tcpdump, но оба они пустые и имеют примерно 0 байт.

Так что я подумал, что запущу его из консоли, чтобы проверить, будет ли это работать оттуда, используя эту команду:

/usr/local/snort/bin/snort -A full -u snort -g snort \

-c /usr/local/snort/etc/snort.conf -i eth1

И затем я проверил лог-файл, чтобы увидеть, будет ли он регистрировать атаку, и он все еще не регистрирует.

Пожалуйста, проверьте права доступа к лог-файлам и каталогу журналов.

Возможно, snort не может записывать в этот файл/каталог.

Похоже, у вас указано nostamp в вашем snort.config. Найдите строку output unified2: filename snort.log, limit 128 и убедитесь, что она не выглядит так:
output unified2: filename snort.log, limit 128, nostamp

Ответ или решение

Проблема с пустыми логами Snort может быть вызвана несколькими факторами, которые важно учесть при диагностике. Давайте внимательно рассмотрим возможные причины и решения.

1. Проблемы с правами доступа

Одной из самых распространённых причин пустых логов является неправильная настройка прав доступа к файлам или директориям, где Snort пытается записать логи. Убедитесь, что пользователь snort, под которым запускается Snort, имеет необходимые права на запись в каталоге /var/log/snort и в самих файлах логов.

Решение:
Проверить права доступа можно командой:

ls -l /var/log/snort

Проверьте, что у пользователя snort есть права на запись. Если это не так, измените права:

chown -R snort:snort /var/log/snort
chmod -R 750 /var/log/snort

2. Настройки конфигурации Snort

Также следует проверить файл конфигурации Snort (snort.conf), чтобы убедиться, что он настроен правильно для записи логов. В частности, обратите внимание на строки, связанные с выводом логов.

Если вы видите строку, содержащую nostamp, она может мешать правильной работе с логами:

output unified2: filename snort.log, limit 128, nostamp

Замените её на:

output unified2: filename snort.log, limit 128

Удаление nostamp может решить проблему с записью.

3. Запуск Snort и Barnyard2

Убедитесь, что Snort и Barnyard2 запускаются в правильной последовательности. Snort должен сначала генерировать файлы логов, после чего Barnyard2 будет их обрабатывать.

Запуск Snort на автоматическом старте может быть настроен неправильно. Рекомендуется сначала запустить Snort в интерактивном режиме с полными правами, чтобы проверить, что он корректно захватывает трафик и создаёт логи. Например:

/usr/local/snort/bin/snort -A console -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth1

4. Проверка сетевого интерфейса

Убедитесь, что указанный сетевой интерфейс (например, eth1) активен, и Snort правильно его захватывает. Вы также можете использовать команду для проверки активных интерфейсов:

ifconfig

5. Мониторинг логов Barnyard2

Barnyard2 – это программа, которая обрабатывает вывод Snort и сохраняет его в логах. Проверьте конфигурацию Barnyard2 (barnyard2.conf) и убедитесь, что она настроена на чтение файлов, созданных Snort. Если Barnyard2 не может найти правильный файл, он также не сможет записать логи.

Заключение

Если вы проверили все вышеперечисленные пункты и проблема остаётся нерешённой, вам может потребоваться более глубокая диагностика конфигурации или окружения. Рекомендуется также просмотреть документацию Snort и Barnyard2 на предмет дополнительных параметров и их правильной настройки.

Следуя этим рекомендациям, вы сможете устранить проблемы с пустыми логами в Snort и обеспечить надежную работу вашей системы обнаружения вторжений.

snort
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности