Почему мои журналы Snort пусты?

Я использую macOS Sierra 10.12.3.

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.12.3
BuildVersion:   16D32

Я установил snort, используя homebrew

$ brew install snort
$ brew ls --versions snort
snort 2.9.9.0

Я запускаю snort с файлом конфигурации user, переключателем -s syslog и файлом tcpdump.

$ sudo snort -c /etc/snort/snort.conf -s -r tcpdump.pcap

мой файл /etc/snort/snort.conf имеет следующие параметры вывода:

output alert_syslog: LOG_AUTH LOG_ALERT

Когда я выполняю, создается пустой файл в /var/log/snort/snort.log.1489953549

Я знаю, что мои правила работают, потому что если я выполню snort с режимом предупреждения fast

$ sudo snort -c /etc/snort/snort.conf -A fast -r tcpdump.pcap

создается новый пустой /var/log/snort/snort.log.1489954258, но также создается файл журнала /var/log/snort/alert, который содержит правильные выходные данные предупреждений.

Я видел, как другие сталкивались с этой проблемой из-за разрешений, но я не верю это моя проблема, учитывая, что я запускаю snort как sudo, и он может нормально записывать в журнал alert.

У меня также нет $NO_PACKET_LOG, насколько я могу судить. ссылка< /а>

Похоже, что brew установил некоторые файлы конфигурации snort по умолчанию под /usr/local/etc/snort, но я не думаю, что это влияет на меня, потому что я использую переключатель -c для предоставления файла конфигурации user.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: я впервые использую snort, поэтому может быть что-то очень очевидное, что я упускаю. Любая помощь очень ценится.


macos homebrew snort
person sdc    schedule 19.03.2017    source источник

Ответы (1)


arrow_upward
1
arrow_downward

TL;DR
Используйте tcpdump, snort, tshark или Wireshark для чтения файлов журнала snort (как просматривать файлы журнала snort)

$ sudo tcpdump -r snort.log.1489953549

Мой пустой файл журнала никогда не был пустым (обратите внимание на размеры файлов от ls)

$ ls -ltr /var/log/snort/
-rw-------  1 root  admin   56018718 Mar 19 15:03 snort.log.1489954258
-rw-------  1 root  admin   56018718 Mar 19 15:11 snort.log.1489953549
-rw-r--r--  1 root  admin   70202224 Mar 19 15:11 alert

Файлы журнала Snort должны быть прочитаны с помощью правильного приложения.

Какой это тип файла?

$ sudo file snort.log.1489953549
snort.log.1489953549: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514)

Прочитайте файл с помощью tcpdump

$ sudo tcpdump -r snort.log.1489954258
06:54:16.654692 IP 192.168.5.81.amt-blc-port > 100.100.100.212.6667: Flags [P.], seq 1304973037:1304973067, ack 1425084530, win 8011, options [nop,nop,TS val 14215752 ecr 2196036272], length 30
...
person sdc    schedule 31.03.2017
comment
Обратите внимание, что если вы используете плагин вывода unified2, файлы snort.log.* также могут быть unified2. Затем вы должны использовать u2spewfoo, чтобы открыть их. - person eugenioperez; 06.04.2017