¿Cómo puedo leer los registros de snort en modo NIDS?

4

Estoy leyendo algunos registros de snort de un firewall, podría leer algunos con "snort -r file"

Pero cuando probé los registros más recientes, obtengo este error:

  

snort -r snort.log

     

Ejecutando en modo volcado de paquetes

   --== Initializing Snort ==--
     

¡Inicializando complementos de salida!   pcap DAQ configurado para leer-archivo.

     

ERROR: No se puede inicializar DAQ pcap (-1) - formato de archivo desconocido

     

Error fatal, al salir ..

Probablemente el snort se está ejecutando en modo NIDS, no sé, tengo corral en este sistema si tengo ayuda. ¿Hay algún material que me ayude a comprender y solucionar este problema?

¡Gracias!

    
pregunta bugsam 05.09.2016 - 17:33
fuente

2 respuestas

0

Descubrí que el problema se relaciona con el formato de la salida de snort, los registros que pude leer son los registros de alertas, los registros que no puedo leer el área unificada2.

  

Unified2 puede funcionar en uno de los tres modos, registro de paquetes, registro de alertas o registro unificado verdadero. El registro de paquetes incluye una captura de todo el paquete y se especifica con log_unified2. Del mismo modo, el registro de alertas solo registrará eventos y se especificará con la alerta unificada2. Para incluir ambos estilos de registro en un solo archivo unificado, simplemente especifique unified2.

enlace

Thx

    
respondido por el bugsam 22.09.2017 - 22:08
fuente
0

En primer lugar, la opción -r está relacionada con el análisis de archivos .pcap . Es por eso que te topaste con este error:

ERROR: Can't initialize DAQ pcap (-1) - unknown file format

Para poder capturar los registros de Snort, debe especificar si irá a syslog o se almacenará en algún archivo deseado. En ambas opciones, será necesario un monitor para leer los últimos registros generados (por ejemplo, el tail(1) puede ser su amigo en ese momento).

Según la página de manual de snort(8) :

-l : establece el registro de salida. De forma predeterminada, se establece en /var/snort/log ;

-i : establece la interfaz específica para detectar paquetes;

-s : enviar registro a syslog;

-c : establece el archivo de configuración que contiene las reglas;

Ejemplo de uso:

Capture los registros de eth0 :

./snort -i eth0 -c /etc/snort/snort.conf -l ./snort-eth0.log

Use tail -f ./snort-eth0.log en otra consola para ver los registros en tiempo real. Si desea enviar al syslog, simplemente agregue -s al final de la línea de comandos de snort.

Capture registros de snort ejecutándose en modo Daemon:

Primero, necesitas saber dónde snort está escupiendo los registros. Para hacer esto, verifique lo que se especificó en la bandera -l . Si no se especifica, recuerde que la ruta predeterminada es /var/snort/log .

ps -p $(pidof /opt/snort3/bin/snort) -f
...
tail -f /var/snort/log
    
respondido por el slayer owner 19.08.2018 - 10:57
fuente

Lea otras preguntas en las etiquetas