URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4783
[ Назад ]

Исходное сообщение
"Snort + syslog не работают"
Отправлено kort , 27-Янв-11 15:56

Здравствуйте!
Ситуация следующия - snort настроен направлять алерты на syslog локальный, а последний в свою очередь отсылает на удалённый сервер эти логи.
Проблема в следующем - сразу после старта на удалённый syslog приходят алерты в большом количестве (и это нормально), но буквально через 5-10 секунд всё прекращается. После этого идут одиночные алерты (а это уже ненормально). Если snort перезапустить, то он опять несколько секунд шлёт алерты, а затем тишина.
В чём может быть причина, кто-нибудь сталкивался с таким?

Содержание

Snort + syslog не работают,Aquarius, 16:19 , 27-Янв-11
- Snort + syslog не работают,kort, 16:34 , 27-Янв-11
  - Snort + syslog не работают,Aquarius, 17:54 , 27-Янв-11
    - Snort + syslog не работают,Ivan, 11:07 , 31-Янв-11
      - Snort + syslog не работают,Aquarius, 20:08 , 01-Фев-11
Snort + syslog не работают,sasku, 14:42 , 18-Авг-11

Сообщения в этом обсуждении

"Snort + syslog не работают"
Отправлено Aquarius , 27-Янв-11 16:19

> Здравствуйте!
> Ситуация следующия - snort настроен направлять алерты на syslog локальный, а последний
> в свою очередь отсылает на удалённый сервер эти логи.
> Проблема в следующем - сразу после старта на удалённый syslog приходят алерты
> в большом количестве (и это нормально), но буквально через 5-10 секунд
> всё прекращается. После этого идут одиночные алерты (а это уже ненормально).
> Если snort перезапустить, то он опять несколько секунд шлёт алерты, а
> затем тишина.
> В чём может быть причина, кто-нибудь сталкивался с таким?
настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните

"Snort + syslog не работают"
Отправлено kort , 27-Янв-11 16:34

> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните
Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина.....
значит дело не в связи, а или в локальном syslog-е, либо в snort-e.
А файл конфигурации syslog-a должен быть:
!snort
*.* @IP
Или я видел такой вариант:
!snort
local4.* @IP

"Snort + syslog не работают"
Отправлено Aquarius , 27-Янв-11 17:54

>> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните
> Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина.....
а результат сравнения?

"Snort + syslog не работают"
Отправлено Ivan , 31-Янв-11 11:07

>>> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните
>> Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина.....
> а результат сравнения?
Что падает на удалённый сислог, то падает и на локальный.

"Snort + syslog не работают"
Отправлено Aquarius , 01-Фев-11 20:08

>>>> настройте локальный syslogd на сохранение логов помимо отправки на удаленный и сравните
>>> Настроил, ситуация такая же: видна перезагрузка, какие-то пойманные пакеты и опять тишина.....
>> а результат сравнения?
> Что падает на удалённый сислог, то падает и на локальный.
выводы?

"Snort + syslog не работают"
Отправлено sasku , 18-Авг-11 14:42

ребят, а не подскажете, есть ли репозитарий для RHEL6 или CentOS6 или SL6 где был бы snort.
можно конечно собрать с исходников, но хотелось бы, готовое :)