Может ли snort выводить предупреждение для portcan (sfPortscan) в системный журнал?

Question

Может ли snort выводить предупреждение для portcan (sfPortscan) в системный журнал?

Я работаю над этим слишком долго. Я уверен, что ответ должен быть очевидным, но...

Руководство Snort: http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf перечисляет два выходных данных регистрации на стр. 39 (стр. 40 в соответствии с Acrobat Reader) как: "Унифицированный вывод" и "Вывод файла журнала", которые Я предполагаю, что первое относится к "унифицированному" режиму вывода... что заставляет меня думать, что ответ "Нет, snort не может выводить предупреждения для обнаруженных портсканов в системный журнал".

Файл конфигурации, который я использовал:

alert tcp any 80 -> any any (msg:"TestTestTest"; content: "testtesttest"; sid:123) preprocessor sfportscan: proto  { all } \
                         memcap { 10000000 } \
                         scan_type { all } \
                         sense_level { high } \
                         logfile { pscan.log }

(да, очень простой, я знаю).

Простой nmap запускает вывод в файл pscan.log

Кто-нибудь может это подтвердить? Или указать, как я это делаю?

1

syslog snort intrusion-detection

Источник

21 мар '10 в 22:15

1 ответ

Другие вопросы по тегам syslog snort intrusion-detection

Cry Havok 21 мар '10 в 23:12 2010-03-21 23:12 · Answer 1 · 2010-03-21 23:12

Snort имеет несколько вариантов вывода. Это исторически включало syslog, но даже если в настоящее время этого не происходит, вы можете использовать barnyard для вывода в syslog (и я бы предположил, что barnyard2 тоже это делает, но я его не тестировал).

редактировать

Я думаю, что понимаю ваше замешательство. На странице 96 руководства подробно описывается (оповещение) ведение журнала в системном журнале, однако ведение журнала, на которое вы ссылаетесь, предназначено для регистрации пакетов, а не оповещений.

Так что да, вы можете писать оповещения в системный журнал, вы просто не можете записывать пакеты в системный журнал.