2011年2月8日 星期二

將Snort alert log傳送到遠端 Log server

編輯 /etc/snort/snort.conf 檔案output alert_syslog: LOG_LOCAL5 LOG_ALERT

編輯 /etc/syslog.conf 檔案local5.*      @192.168.1.1  遠方log server

重啟syslog[root@snort log]# service syslog restart

編輯遠端 log server的  /etc/syslog.conf 檔案local5.*  /var/log/snort.log

重啟遠端syslog[root@snort log]# service syslog restart

備忘: 也可記錄於本機log file
編輯 /etc/snort/snort.conf 檔案output alert_syslog: LOG_LOCAL5  LOG_ALERT

編輯 /etc/syslog.conf 檔案local5.alert       /var/log/snort.alert

啟動snort [root@snort log]# /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -p –D

注意:如果要將alert log放到另外的地方 (預設是在/var/log/snort/alert) ,
例如 /var/log/snort.alert,  Snort 啟動時不能加 –A fast(是產生alert檔的) , 所以snort就會以 /var/log/snort.alert檔案了, /var/log/snort/alert檔就不會產生了.

註: 如果要產生/var/log/snort/alert檔案, 又要送log至遠端log server 或本機的 /var/log/messages檔案時, 要加上 –s –A fast 參數, [root@snort log]# /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort  –s  –A fast -D

沒有留言:

張貼留言