Snort: ничего не регистрируется

Question

Snort: ничего не регистрируется

Похоже, что мой сайт за последние несколько месяцев подвергся небольшому исследованию. В попытке лучше разобраться в этом, я установил SNORT на одну из машин, которая имеет внешнее воздействие. Что-то не должно быть установлено правильно, так как я вижу много исследований в /var/log/messages, но snort ничего не записывает.

Система: CentOS 6.2 (32 бит)
Snort: (последняя сборка и правила)

Snort настроен на этом отличном сайте: http://nachum234.no-ip.org/security/snort/001-snort-installation-on-centos-6-2/

snort работает как демон: /usr/local/bin/snort -d -D -i bond0 -u snort -g snort -c /etc/snort.d/snort.conf -l /var/log/snort

Файл snort.log пуст, несмотря на сотни (или более) неудачных попыток входа в систему с отдельных IP-адресов. Может быть, мне не хватает цели SNORT? Я надеялся, что это будет регистрировать такую информацию.

0

centos snort

Источник

ethrbunny 05 июн '12 в 16:31

1 ответ

Решение

Другие вопросы по тегам centos snort

Tim Brigham 05 июн '12 в 16:48 2012-06-05 16:48 · Accepted Answer · 2012-06-05 16:48

Пока демон Snort работает, проблема, которая обычно вызывает это поведение, обычно одна из трех:

Отсутствует набор правил, здесь не применяется.
Интерфейс не настроен правильно (прослушивает внутренний интерфейс, а не порт внешнего монитора)
Внешний интерфейс не подключен через кран (если вы наблюдаете за другими хостами).

Мое лучшее предположение на данный момент состоит в том, что, вероятно, нужно по-разному определять интерфейс к демону. Если вы на самом деле не используете связанный интерфейс (не упомянутый в вашем вопросе), это будет первое место, на которое я посмотрю.