snort

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
maus666
Beiträge: 4
Registriert: 28.08.2003 07:29:55

snort

Beitrag von maus666 » 01.10.2003 13:22:52

Hi,

ich versuche gerade mal bei snort durchzusteigen. Allerdings habe ich
jetzt einige Probleme bei der Logfile-Auswertung.
Snort schreibt mir Info's in eine portscan.log und in eine Datei namens "alert".
Dies ist alles richtig. Zusätzlich legt er aber noch folgende Dateien an:
z.B. snort-0916\@0625.log

Die Zahl vor dem @ müsste das Datum sein, die nach dem @ die Uhrzeit.
Diese Dateien werden dann auch per Cronjob ausgelesen und mir per Mail
eine Statistik geschickt. Allerdings sind die Dateien immer leer und ich finde
nichts in snort.conf.

Kann mir da vielleicht jemand ein Tip geben? Wäre echt klasse.

Grüssle

Benutzeravatar
pdreker
Beiträge: 8298
Registriert: 29.07.2002 21:53:30
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nürnberg

Beitrag von pdreker » 01.10.2003 16:28:24

Snort + Firewall = leere Logs

Die Firewall ist zuerst dran, und dropped Pakete, Snort bekommt dann nur noch den normalen Traffic zu sehen...

Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de

maus666
Beiträge: 4
Registriert: 28.08.2003 07:29:55

Beitrag von maus666 » 02.10.2003 08:02:00

Danke für den Tip. Ich habe aber noch einen weiteren Fehler entdeckt. Die
Datei 5snort in /etc/cron.daily ist fehlerhaft. Nach meinen Änderungen wird jetzt
die Datei alert immer Tagesaktuell verschickt.

Antworten