snort syslog 로그 샘플

[2009-11-02 17:55:46.953+0900] (/10.10.0.10:514) => <33>snort[20586]: [1:1000000:0] what the hell {TCP} 10.10.0.10:5432 -> 10.10.0.8:1837

[2009-11-02 17:55:50.918+0900] (/10.10.0.10:514) => <33>last message repeated 7 times

[2009-11-02 18:08:59.228+0900] (/10.10.0.10:514) => <129>snort[24858]: [122:17:0] (portscan) UDP Portscan[Priority: 3]: {PROTO:255} 220.45.142.139 -> 10.10.0.10

[2009-11-02 18:13:28.419+0900] (/10.10.0.10:514) => <129>snort[24858]: [1:486:4] ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited [Classification: Misc activity] [Priority: 3]: {ICMP} 220.45.142.139 -> 10.10.0.2

감자가 alert_syslog 관련해서 내용 좀 추가할 예정

[A:B:C]에서 A는 GENERATOR ID, B는 SID, C는 REV

앞에 [2009-11-02 17:55:46.953+0900] (/10.10.0.10:514) =>  부분은 
크라켄 시스로그에서 찍은 부분이고 뒷부분이 실제 로그 데이터

파싱하기 귀찮게 생겼네..
by xeraph | 2009/11/02 18:09 | NCHOVY | 트랙백(1) | 덧글(2)
트랙백 주소 : http://xeraph.com/tb/5112005
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Tracked from 준경군의 雜多努吐 at 2009/11/04 14:34

제목 : Snort의 alert 신호를 원격으로 전송하는 방법.
별로 적을 내용은 없지만 랍형이 적으라고 압박을 주시는 관계로 정리를 해보겠습니다. 테스트 서버도 Ubuntu Sarge였던것 같은데... 서버관리는 제 권한이 아니라;; 자세한건 빨콩횽한테 물어보세요. 우선 /etc/snort/snort.conf 파일을 열고 아래의 내용을 주석해제 해줍니다. output alert_syslog: LOG_AUTH LOG_ALERT 그리고 /etc/init.d/snort restart 따위로 재시작을......more

Commented by 서린 at 2009/11/03 01:22
굳이 syslog 거쳐서 딸 필요 있나요?
Commented by xeraph at 2009/11/03 09:43
외부 서버에 연동하려면 syslog로 쏘는게 편해서요~

:         :

:

비공개 덧글

<< 이전 페이지 다음 페이지 >>