Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog
externe.
j'ai essayé l'option -s .....
sans succès, puis, j'ai regardé dans snort.conf à l'endroit des configs
syslog ....il m'a semblé qu'il fallait rentrer l'adresse ip du serveur
externe....mais encore une fois échec...
Est-ce que quelqu'un peut m'aider ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Dans sa prose, j3CubL4H nous ecrivait :
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
-- Bon, je crois que je vais laisser tomber les jeux vidéos, moi, c'est pas fait pour moi. Tiens, je vais jouer à Pokémon Stadium. C'est moins compliqué, et puis au moins je gagne. ;-) -+- MR in GPJ: Je ne joue plus mais si quand même -+-
Dans sa prose, j3CubL4H nous ecrivait :
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un
syslog externe.
j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter
sur le réseau.
--
Bon, je crois que je vais laisser tomber les jeux vidéos, moi, c'est
pas fait pour moi. Tiens, je vais jouer à Pokémon Stadium. C'est moins
compliqué, et puis au moins je gagne. ;-)
-+- MR in GPJ: Je ne joue plus mais si quand même -+-
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
-- Bon, je crois que je vais laisser tomber les jeux vidéos, moi, c'est pas fait pour moi. Tiens, je vais jouer à Pokémon Stadium. C'est moins compliqué, et puis au moins je gagne. ;-) -+- MR in GPJ: Je ne joue plus mais si quand même -+-
HelloMan
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Cedric Blancher wrote:
Dans sa prose, j3CubL4H nous ecrivait :
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
Effectivement, il faut que 1) le sensor émettant soit lancé avec l'option -s ip pour émettre 2) le syslog du récepteur soit lancé avec l'option -r pour pouvoir écouter sur le réseau
mais aussi
3) sur l'emetteur, il faut dire à syslog d'emettre vers le récepteur par le fichier /etc/syslog.conf qui normalement comporte la ligne suivante: *.info -/var/log/messages rajouter une ligne *.info @recepteur ceci pour le cas où ton snort sur l'emetteur envoie ses messages vers /var/log/messages mais ceci est à adapter en fonction de ta distrib
tu peux aussi avoir les lignes suivantes: *.* -/var/log/syslog *.* @recepteur pour si snort envoie ses messages vers syslog
Sinon, et c'est ce que je fais (à adapter selon les cas) utiliser Snort-MySQL pour envoyer les alertes vers une base de données, c'est plus pratique pour
1) récupérer des données anciennes et faire le tri (cas de logrotate, on perd chaque semainde l'accès direct à la semaine précédante, ou alors il faut décompresser le syslog gzippé) 2) faire une synthèse plus puissante des sources et destinations des alertes (mysql, c'est mieux que de se prendre la tête à lire des syslogs non ?) et pour ça, il y a Acid, on peut remonter à loin. et faire la synthèse des informations en provenance de plusieurs sources.
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un
syslog externe.
j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter
sur le réseau.
Effectivement, il faut que
1) le sensor émettant soit lancé avec l'option -s ip pour émettre
2) le syslog du récepteur soit lancé avec l'option -r pour pouvoir écouter
sur le réseau
mais aussi
3) sur l'emetteur, il faut dire à syslog d'emettre vers le récepteur
par le fichier /etc/syslog.conf qui normalement comporte la ligne suivante:
*.info -/var/log/messages
rajouter une ligne
*.info @recepteur
ceci pour le cas où ton snort sur l'emetteur envoie ses messages vers
/var/log/messages mais ceci est à adapter en fonction de ta distrib
tu peux aussi avoir les lignes suivantes:
*.* -/var/log/syslog
*.* @recepteur
pour si snort envoie ses messages vers syslog
Sinon, et c'est ce que je fais (à adapter selon les cas) utiliser
Snort-MySQL pour envoyer les alertes vers une base de données, c'est plus
pratique pour
1) récupérer des données anciennes et faire le tri (cas de logrotate, on
perd chaque semainde l'accès direct à la semaine précédante, ou alors il
faut décompresser le syslog gzippé)
2) faire une synthèse plus puissante des sources et destinations des alertes
(mysql, c'est mieux que de se prendre la tête à lire des syslogs non ?) et
pour ça, il y a Acid, on peut remonter à loin. et faire la synthèse des
informations en provenance de plusieurs sources.
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
Effectivement, il faut que 1) le sensor émettant soit lancé avec l'option -s ip pour émettre 2) le syslog du récepteur soit lancé avec l'option -r pour pouvoir écouter sur le réseau
mais aussi
3) sur l'emetteur, il faut dire à syslog d'emettre vers le récepteur par le fichier /etc/syslog.conf qui normalement comporte la ligne suivante: *.info -/var/log/messages rajouter une ligne *.info @recepteur ceci pour le cas où ton snort sur l'emetteur envoie ses messages vers /var/log/messages mais ceci est à adapter en fonction de ta distrib
tu peux aussi avoir les lignes suivantes: *.* -/var/log/syslog *.* @recepteur pour si snort envoie ses messages vers syslog
Sinon, et c'est ce que je fais (à adapter selon les cas) utiliser Snort-MySQL pour envoyer les alertes vers une base de données, c'est plus pratique pour
1) récupérer des données anciennes et faire le tri (cas de logrotate, on perd chaque semainde l'accès direct à la semaine précédante, ou alors il faut décompresser le syslog gzippé) 2) faire une synthèse plus puissante des sources et destinations des alertes (mysql, c'est mieux que de se prendre la tête à lire des syslogs non ?) et pour ça, il y a Acid, on peut remonter à loin. et faire la synthèse des informations en provenance de plusieurs sources.
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
Et la suite dans /etc/syslog.conf de la machine locale (celle qui veut envoyer le trafic de snort vers la machine syslogd). Il faut rediriger le trafic snort. Si je me souviens bien, je crois que pr la syntaxe, ca donne:
(...) @xxx.xxx.xxx.xxx
(xxx...xxx ==> IP) Ne pas oublier le @...
Pierre
-- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN
°°°°°°°°°----------------°°°°°°°°°
Dans sa prose, j3CubL4H nous ecrivait :
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un
syslog externe.
j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter
sur le réseau.
Et la suite dans /etc/syslog.conf de la machine locale (celle qui veut
envoyer le trafic de snort vers la machine syslogd).
Il faut rediriger le trafic snort. Si je me souviens bien, je crois que
pr la syntaxe, ca donne:
(...) @xxx.xxx.xxx.xxx
(xxx...xxx ==> IP)
Ne pas oublier le @...
Pierre
--
°°°°°°°°°----------------°°°°°°°°°
Pierre BETOUIN
soulrider@unsigned.ath.cx
°°°°°°°°°----------------°°°°°°°°°
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
Et la suite dans /etc/syslog.conf de la machine locale (celle qui veut envoyer le trafic de snort vers la machine syslogd). Il faut rediriger le trafic snort. Si je me souviens bien, je crois que pr la syntaxe, ca donne:
(...) @xxx.xxx.xxx.xxx
(xxx...xxx ==> IP) Ne pas oublier le @...
Pierre
-- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN
°°°°°°°°°----------------°°°°°°°°°
j3CubL4H
Un grand merci à tous, je vais tester tout ça sans tarder. mais, n'y a t'il pas un risque de faire tourner mysql+un serveur web pour acid sur la même machine ? a moins qu'ACID soit composé de scripts perl qui génèrent du html uniquement exploitable en local ?
V.
"Pierre BETOUIN" a écrit dans le message de news:
Dans sa prose, j3CubL4H nous ecrivait :
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
Et la suite dans /etc/syslog.conf de la machine locale (celle qui veut envoyer le trafic de snort vers la machine syslogd). Il faut rediriger le trafic snort. Si je me souviens bien, je crois que pr la syntaxe, ca donne:
(...) @xxx.xxx.xxx.xxx
(xxx...xxx ==> IP) Ne pas oublier le @...
Pierre
-- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN
°°°°°°°°°----------------°°°°°°°°°
Un grand merci à tous, je vais tester tout ça sans tarder.
mais, n'y a t'il pas un risque de faire tourner mysql+un serveur web pour
acid sur la même machine ?
a moins qu'ACID soit composé de scripts perl qui génèrent du html uniquement
exploitable en local ?
V.
"Pierre BETOUIN" <soulrider@unsigned.ath.cx> a écrit dans le message de
news: pan.2003.12.15.11.33.22.584454@unsigned.ath.cx...
Dans sa prose, j3CubL4H nous ecrivait :
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un
syslog externe.
j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter
sur le réseau.
Et la suite dans /etc/syslog.conf de la machine locale (celle qui veut
envoyer le trafic de snort vers la machine syslogd).
Il faut rediriger le trafic snort. Si je me souviens bien, je crois que
pr la syntaxe, ca donne:
(...) @xxx.xxx.xxx.xxx
(xxx...xxx ==> IP)
Ne pas oublier le @...
Pierre
--
°°°°°°°°°----------------°°°°°°°°°
Pierre BETOUIN
soulrider@unsigned.ath.cx
°°°°°°°°°----------------°°°°°°°°°
Un grand merci à tous, je vais tester tout ça sans tarder. mais, n'y a t'il pas un risque de faire tourner mysql+un serveur web pour acid sur la même machine ? a moins qu'ACID soit composé de scripts perl qui génèrent du html uniquement exploitable en local ?
V.
"Pierre BETOUIN" a écrit dans le message de news:
Dans sa prose, j3CubL4H nous ecrivait :
Bonjour, je voudrais que mon SNORT puisse envoyer les alertes vers un syslog externe. j'ai essayé l'option -s .....
Peut être lancé le démon syslog avec l'option -r pour le faire écouter sur le réseau.
Et la suite dans /etc/syslog.conf de la machine locale (celle qui veut envoyer le trafic de snort vers la machine syslogd). Il faut rediriger le trafic snort. Si je me souviens bien, je crois que pr la syntaxe, ca donne:
(...) @xxx.xxx.xxx.xxx
(xxx...xxx ==> IP) Ne pas oublier le @...
Pierre
-- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN
°°°°°°°°°----------------°°°°°°°°°
Pierre BETOUIN
Un grand merci à tous, je vais tester tout ça sans tarder. mais, n'y a t'il pas un risque de faire tourner mysql+un serveur web pour acid sur la même machine ? a moins qu'ACID soit composé de scripts perl qui génèrent du html uniquement exploitable en local ?
V.
Je pense que tu ne tiens pas à donner à tt le monde ces infos là ;) Je te conseille donc de mettre un .htaccess dans le rep. d'Acid, ce qui limitera les exploitations s'il y a un pbl sur un des scripts d'ACID.
Pour le serveur MySQL, s'il est ici uniquement pour ACID, ferme le de l'exterieur, autant ne pas laisser tourner un service sur ton interf exterieure quand il ne sert à rien.
Pierre
-- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN
°°°°°°°°°----------------°°°°°°°°°
Un grand merci à tous, je vais tester tout ça sans tarder. mais, n'y a
t'il pas un risque de faire tourner mysql+un serveur web pour acid sur la
même machine ?
a moins qu'ACID soit composé de scripts perl qui génèrent du html
uniquement exploitable en local ?
V.
Je pense que tu ne tiens pas à donner à tt le monde ces infos là ;)
Je te conseille donc de mettre un .htaccess dans le rep. d'Acid, ce qui
limitera les exploitations s'il y a un pbl sur un des scripts d'ACID.
Pour le serveur MySQL, s'il est ici uniquement pour ACID, ferme le de
l'exterieur, autant ne pas laisser tourner un service sur ton interf
exterieure quand il ne sert à rien.
Pierre
--
°°°°°°°°°----------------°°°°°°°°°
Pierre BETOUIN
soulrider@unsigned.ath.cx
°°°°°°°°°----------------°°°°°°°°°
Un grand merci à tous, je vais tester tout ça sans tarder. mais, n'y a t'il pas un risque de faire tourner mysql+un serveur web pour acid sur la même machine ? a moins qu'ACID soit composé de scripts perl qui génèrent du html uniquement exploitable en local ?
V.
Je pense que tu ne tiens pas à donner à tt le monde ces infos là ;) Je te conseille donc de mettre un .htaccess dans le rep. d'Acid, ce qui limitera les exploitations s'il y a un pbl sur un des scripts d'ACID.
Pour le serveur MySQL, s'il est ici uniquement pour ACID, ferme le de l'exterieur, autant ne pas laisser tourner un service sur ton interf exterieure quand il ne sert à rien.
Pierre
-- °°°°°°°°°----------------°°°°°°°°° Pierre BETOUIN
