Konfigurowanie Open Source SNORT

Aby skonfigurować dziennik syslog na urządzeniu SNORT typu Open Source:

Informacje o tym zadaniu

Poniższa procedura ma zastosowanie do systemu, w którym działa system Red Hat Enterprise. Poniższe procedury mogą różnić się w zależności od innych systemów operacyjnych.

Procedura

  1. Skonfiguruj SNORT w systemie zdalnym.
  2. Otwórz plik snort.conf .
  3. Usuń znak komentarza z następującego wiersza:

    output alert_syslog:LOG_AUTH LOG_INFO

  4. Zapisz i zamknij plik.
  5. Otwórz następujący plik:

    /etc/init.d/snortd

  6. Dodaj -s do następujących wierszy, tak jak pokazano to w przykładzie:
    daemon /usr/sbin/snort $ALERTMODE 
$BINARY_LOG $NO PACKET_LOG $DUMP_APP -D 
$PRINT_INTERFACE -i $i -s -u $USER -g 
$GROUP $CONF -i $LOGIR/$i $PASS_FIRST
    daemon /usr/sbin/snort $ALERTMODE 
$BINARY_LOG $NO_PACKET_LOG $DUMP_APP -D 
$PRINT_INTERFACE $INTERFACE -s -u $USER -g 
$GROUP $CONF -i $LOGDIR
  7. Zapisz i zamknij plik.
  8. Zrestartuj SNORT, wpisując następującą komendę:

    /etc/init.d/snortd restart

  9. Otwórz plik syslog.conf .
  10. Zaktualizuj plik w taki sposób, aby odzwierciedlał następujący kod:

    auth.info@<IP Address>

    Gdzie <adres_IP> to system, do którego mają być wysyłane dzienniki.

  11. Zapisz i zamknij plik.
  12. Zrestartuj dziennik syslog:

    /etc/init.d/syslog restart

Co dalej

Teraz można skonfigurować źródło dziennika w produkcie QRadar®.