我在基于Bitnami的linux机器上安装了Magento网站
现成的图像。
主要目标是在网站上可能存在潜在攻击时通过电子邮件通知。
为此,我决定安装Snort IDS并使用Swatch通过电子邮件将警报发送到系统日志。
我通过遵循Snort官方网站上的this tutorial安装了snort。
我刚刚完成了该教程的第9节,这意味着:
安装了所有的配件。
在计算机上安装了Snort IDS。
设置测试规则以在发生ICMP请求(ping)时发出警报。
为了使Snort可以将警报记录到syslog,我在snort.conf文件中取消了以下注释:
输出alert_syslog:LOG_AUTH LOG_ALERT
我已经通过运行以下命令测试了安装:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Snort运行时,我已经从另一个系统发出了ping请求。
我可以在Snort的日志文件中看到警报注册,但未向系统日志中添加任何内容。
跟踪和错误:
以root用户身份运行snort。
设置syslog以将日志退回到另一台服务器(远程syslog)。
我对Linux没有太多的经验,因此非常感谢您向我指出正确的方向。
一些事实:
Bitnami Magento Stack 1.9.1.0-0
Ubuntu 14.04.3 LTS
喷鼻息2.9.7.5
最佳答案
我也将这个问题发布在linuxquestions.org上并得到了答案。
在取消Spawn回复之后,我检查了rsyslog conf文件,发现身份验证日志已发送到auto.log文件。
这导致了一个快速修复,将一个附加的.conf文件添加到/etc/rsyslog.d中,内容如下:
auth /var/log/syslog
同样如建议的那样,我对snort执行命令进行了一些更改(省略了-q -A控制台):
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
重新启动rsyslog服务后,我在syslog中发现缺少的Snort警报。
关于linux - 安装在ubuntu上的Snort不向系统日志发送警报,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/32569628/