我在一台基于Bitnami的linux机器上安装了Magento网站 现成的图像。
为了实现这一点,我决定安装Snort IDS并使用Swatch通过电子邮件发送到syslog的警报。
我已经按照Snort官方网站上的this tutorial安装了snort。
我刚刚完成该教程的第9部分,意思是:
接下来允许Snort将警报记录到syslog我已经在snort.conf文件中取消注释了这一行: 输出alert_syslog:LOG_AUTH LOG_ALERT
我已经通过运行此命令测试了安装:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
当Snort正在运行时,我已经从另一个系统发出了ping请求。 我可以看到警报在Snort的日志文件中注册,但没有添加到syslog中。
追踪和错误:
以root用户身份运行snort。
将syslog设置为将日志退回到另一台服务器(远程syslog)。
我对linux没有太多的经验,所以任何指导我正确方向的帮助都将非常感激。
一些事实:
答案 0 :(得分:0)
我已经在linuxquestions.org上发布了这个问题并得到了答案。
在unSpawn回复之后,我查看了rsyslog conf文件,发现auth日志被发送到auto.log文件。 这导致快速修复了使用内容向 /etc/rsyslog.d 添加额外的.conf文件:
auth /var/log/syslog
同样如我所知,我对snort执行命令进行了一些更改(省略了-q -A控制台):
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
重新启动rsyslog服务后,我在syslog中找到了丢失的Snort警报。