我正在为snort syslog警报编写一个“解析器”,并且我需要将syslog警报发送到同一网络内的远程主机,snort当前正在CentOS 7系统上的计算机上运行,该计算机充当了之间的桥梁另外两台机器。
类似这样的东西:
A ----(eth1)喷鼻息(eth0)---- B
我的snort.conf确实很简单:
include /etc/snort/rules/apiRules.rules
output alert_syslog: host=10.20.10.1:514, LOG_AUTH LOG_ALERT
10.20.10.1是主机B的IP地址。
在文件/etc/snort/rules/apiRules.rules中,我们有一个非常简单的icmp规则:
alert icmp any any -> any any
使用上述配置,我通过命令行使用以下命令运行了鼻音:
snort -A console -i eth1 -u snort -g snort -c /etc/snort/snort.conf
在我从主机A ping主机B(ping通过snort机器桥的ping)的测试中,屏幕上和所有内容均打印了警报,但在主机B中,端口514上的侦听器未显示任何内容。 / p>
我尝试将syslog输出更改为snort本地主机,但仍然没有运气。我的配置有问题吗?我是否需要添加其他内容? snort机器充当桥接器这一事实是否与之有关?