snort

maus666 · Beitrag von **maus666** » 01.10.2003 13:22:52

Hi,

ich versuche gerade mal bei snort durchzusteigen. Allerdings habe ich
jetzt einige Probleme bei der Logfile-Auswertung.
Snort schreibt mir Info's in eine portscan.log und in eine Datei namens "alert".
Dies ist alles richtig. Zusätzlich legt er aber noch folgende Dateien an:
z.B. snort-0916\@0625.log

Die Zahl vor dem @ müsste das Datum sein, die nach dem @ die Uhrzeit.
Diese Dateien werden dann auch per Cronjob ausgelesen und mir per Mail
eine Statistik geschickt. Allerdings sind die Dateien immer leer und ich finde
nichts in snort.conf.

Kann mir da vielleicht jemand ein Tip geben? Wäre echt klasse.

Grüssle

pdreker · Beitrag von **pdreker** » 01.10.2003 16:28:24

Snort + Firewall = leere Logs

Die Firewall ist zuerst dran, und dropped Pakete, Snort bekommt dann nur noch den normalen Traffic zu sehen...

Patrick

maus666 · Beitrag von **maus666** » 02.10.2003 08:02:00

Danke für den Tip. Ich habe aber noch einen weiteren Fehler entdeckt. Die
Datei 5snort in /etc/cron.daily ist fehlerhaft. Nach meinen Änderungen wird jetzt
die Datei alert immer Tagesaktuell verschickt.