Snort instalado en Ubuntu no envía alertas a syslog

tag-icon tag-icon linux syslog snort
Snort instalado en Ubuntu no envía alertas a syslog

Tengo un sitio web Magento configurado en una máquina Linux que se basa en una imagen preparada de Bitnami.

El objetivo principal es recibir notificaciones por correo electrónico cuando pueda haber un posible ataque al sitio.

Mi configuración:

  • Ubuntu 14.04.3 LTS
  • Pila Bitnami Magento 1.9.1.0-0
  • Resoplido 2.9.7.5

Para lograr eso, decidí instalar Snort IDS y enviar por correo electrónico las alertas que llegan al syslog usando Swatch.

He instalado snort siguiendoeste tutorialdel sitio web oficial de Snort.

Acabo de terminar la sección 9 de ese tutorial, que significa:

  • Instalé todos los requisitos.
  • Instalé Snort IDS en la máquina.
  • Configure una regla de prueba para alertar cuando se produzcan solicitudes ICMP (ping).

A continuación, para permitir que Snort registre alertas en syslog, descomenté esta línea en el archivo snort.conf:

output alert_syslog: LOG_AUTH LOG_ALERT

Probé la instalación ejecutando este comando:

sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Mientras Snort se estaba ejecutando, hice una solicitud de ping desde otro sistema. Puedo ver alertas registrándose en el archivo de registro de Snort perono se agregó nada al syslog.

Rastro y errores:

  1. Ejecute snort como usuario root.

  2. Configure syslog para rebotar registros a otro servidor (syslog remoto).

No tengo mucha experiencia con Linux, por lo que agradeceré mucho cualquier ayuda que me indique la dirección correcta.

Respuesta1

También publiqué esta pregunta en linuxquestions.org y obtuve una respuesta.

Después de la respuesta de unSpawn, revisé los archivos de configuración de rsyslog y descubrí que los registros de autenticación se envían al archivo auto.log. Lo que llevó a una solución rápida al agregar un archivo .conf adicional a/etc/rsyslog.dcon el contenido:

auth /var/log/syslog

Además, como se sugirió, hice algunos cambios en el comando de ejecución de snort (omitiendo la consola -q -A):

sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0

Después de reiniciar el servicio rsyslog encontré las alertas de Snort que faltaban en syslog.

información relacionada