我一直在使用Snort IDS,我已成功设法生成一些测试日志。我面临的问题与他们的格式(alert_fast)有关。下面提供了一些示例日志。
07 / 23-20:08:56.631567 [] [1:2002911:4] ET SCAN潜在的VNC扫描 5900-5920 [] [分类:未尽的信息泄漏] [优先顺序: 2] {TCP} 10.42.42.253:58606 - > 10.42.42.25:5906
07 / 23-20:08:56.685455 [] [1:2010937:2] ET政策可疑入境 到mySQL端口3306 [] [分类:潜在的不良流量] [优先级:2] {TCP} 10.42.42.253:40328 - > 10.42.42.56:3306
Syslog-ng为它添加某种标题:
Jul 23 20:08:56 SOME_IP 07 / 23-20:08:56.685455 [] [1:2010937:2] ET POLICY可疑入站到mySQL端口3306 [] [分类: 潜在的不良流量] [优先级:2] {TCP} 10.42.42.253:40328 - > 10.42.42.56:3306
我需要一种摆脱初始数据的方法。我尝试使用目标d_file { file(“/var/log/file.log” template(“$MSG\n”)); };
,但随后产生:
08:56.685455 [] [1:2010937:2] ET政策可疑入站mySQL 港口3306 [] [分类:潜在的不良交通] [优先级:2] {TCP} 10.42.42.253:40328 - > 10.42.42.56:3306
正如您所看到的,还会删除一些原始日志。
请注意,我希望不惜一切代价避免更改为其他Snort日志格式。肯定有办法解决这个问题吗?
答案 0 :(得分:0)
syslog-ng正在向消息附加一个syslog标头,因为它们似乎没有格式良好的系统日志消息,并且syslog-ng无法正确解析它们。
尝试为这些消息使用单独的源,并为源设置标志(无解析)选项。然后,目的地中的模板(“$ MSG \ n”)应该为您提供所需的结果。
问候,
Robert Fekete
答案 1 :(得分:0)
感谢回应罗伯特。不幸的是,我已经有了标志(无解析)作为我原始设置的一部分。这是修正它的原因:
template my_template {
template("$MSGHDR$MSG\n");
template_escape(no);
};
...
destination some_name {
file("/var/log/snort/alert" template(my_template));
};