私は、Bitnami の既成イメージに基づいた Magento Web サイトを Linux マシン上にセットアップしています。
主な目的は、サイトへの潜在的な攻撃が発生する可能性がある場合に電子メールで通知することです。
私の設定:
- Ubuntu 14.04.3 LTS
- Bitnami Magento スタック 1.9.1.0-0
- スノート 2.9.7.5
これを実現するために、Snort IDS をインストールし、Swatch を使用して syslog に届くアラートを電子メールで送信することにしました。
私は次のようにSnortをインストールしましたこのチュートリアルSnort の公式ウェブサイトより。
私はそのチュートリアルのセクション 9 を終えたところです。つまり、次のようになります。
- すべての特典をインストールしました。
- マシンに Snort IDS をインストールしました。
- ICMP 要求 (ping) が発生したときに警告するテスト ルールを設定します。
次に、Snort が syslog にアラートを記録できるようにするために、snort.conf ファイルで次の行のコメントを解除しました。
output alert_syslog: LOG_AUTH LOG_ALERT
次のコマンドを実行してインストールをテストしました:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Snortの実行中に別のシステムからping要求を送信しました。Snortのログファイルにアラートが登録されているのがわかりますが、syslog には何も追加されませんでした。
試行錯誤:
ユーザー root として snort を実行します。
ログを別のサーバー (リモート syslog) にバウンスするように syslog を設定します。
私は Linux の経験があまりないので、正しい方向を指し示してくれる助けがあれば大変助かります。
答え1
この質問を linuxquestions.org にも投稿し、回答を得ました。
unSpawnの返信を受けて、rsyslog confファイルを確認したところ、認証ログがauto.logファイルに送られていることが分かりました。そのため、追加の.confファイルを追加するという簡単な修正が行われました。rsyslog.d は、内容は次のとおりです:
auth /var/log/syslog
また、提案されたとおり、snort 実行コマンドにいくつか変更を加えました (-q -A コンソールを省略)。
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
rsyslog サービスを再起動した後、syslog に Snort アラートが欠落していることに気付きました。