Snort problemchen beim Loggen |
||
---|---|---|
#0
| ||
16.05.2003, 17:57
...neu hier
Beiträge: 2 |
||
|
||
16.05.2003, 19:35
...neu hier
Themenstarter Beiträge: 2 |
#2
werde mal das mit der DB versuchen ....
wenn ich meintwegen "output log_tcpdump: /var/log/snort/binary.log" anschalte und dann "snort -dve -c /etc/snort/snort.conf" snort starte, und dann mal n refresh einer Inet seite, kommt folgendes in der snort Console: Code =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ theoretisch egal wie und was müsste zumindest irgendetwas ähnliches in der tcpdump-logfile sein ... ich lese das logfile mit "snort -dev -r /var/log/snort/binary*" aus und es erscheint: Code =============================================================================== nochnicht einmal das Stimmt mit dem oben überein ... ist das bbei euch auch so ? |
|
|
- sitze direkt am Router (2 Interfaces eth0 -> MODEM && eth1=192.168.99.1)
also meine bissherigen einstellungen...
nach der Installation habe ich eine Seperrate snort.conf erstellt...
snort.conf
Code
und eine rules.conf um die Optionen zu testen.
rules.conf
Code
soweit so gut ...
nun tauchen 2 Probleme auf.
1_Problem das Loggen mit tcpdump funktioniert nicht ...
Console_2 <<-- tcpdump gestartet
Code
Console_3 <<-- Einen PING test durch geführt
Code
ERGEBNIS:[/B
[B]Console_2 <<-- tcpdump gestopt und snort zum auslesen der tcpdump_logfile "pingpa" gestartet
Code
es wurde nichts Prtokoliert...., selbst nicht in /var/log/snort/
ich sehe dort keine Header info und keine ip etc. ...
stehen dann nur in der "alert"-Datei
2_Problem ich möchte gerne den Inhalt der Packete mit Loggen. Also oben habe ich die regel festgelegt mit dem Content nur fehlt mir jetzt die Option wo und wie ich das komplette Packet samt inhalt loggen kann ...