PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : snort regeln werden nicht geloggt



joey.brunner
26.10.02, 11:37
Hi,

jetzt hab ich vorhin das neue snort 1.9 kompiliert und mir einige regeln dazu aufgesetzt (bzw. meien alten verwendet). das log verzeichnis, das ich beim start übergebe, ist ./log. Beim start werden dort die dateien alert und portscan.log erstellt, doch leider schreibt mir snort keine meldungen rein. meine regeln werden alle initialisiert, aber geloggt wird nichts.

ich hab jetzt alle regeln abgestellt (hab sie in anderen dateien, und diese binde ich über include ein, sie werden erkannt, da snort mir beim start sagt, dass 1091 regeln initialisiert werden). So, aber warum klappt das loggin nicht?

ich hab jetzrt alle regeln weg, bis auf eine zum testen:

alert ip 192.168.0.2 any -> 192.168.0.2 any (msg:" gleiche ip"; sameip;)

diese regel ist wirklich einfach und ich bentuzte sie immer zum testen, aber meine beiden dateien bleiben leer;( schreibrechte passen, sonst könnte snort die dateien ja nicht erstellen.

habt ihr ne idee?

vielen dank

Joey

rabenkind
26.10.02, 12:33
hi joey.brunner

läuft snort überhaupt? beim installieren von snort habe ich auch ein bisschen gebraucht und dabei ist mir aufgefallen das snort in der konsole zwar die meldung initialize rules ausgibt aber sich dann ohne weitere meldung beendet wenn etwas in der config falsch ist.
in der readme steht auch das man die alten regeln nicht verwenden kann.

greetz rabenkind :))

tomes
26.10.02, 17:30
von der Konsole mit dem Schalter -T.
Allerdings kann ich mir auch nicht vorstellen, das ein Snort bei dieser Regel was logt.
Muss ich mal selber ausprobieren. ( theoretisch fehlt das Netz zur IP)
Ansonsten, lass mal einfach tcpdump irgendwo laufen, um zu sehen ob da irgendwas passiert.

T;o)Mes

joey.brunner
27.10.02, 10:14
Hi,

ich glaube ich habe das problem gefunden (danke für die antworten erstmal). ich hab mir auch gedacht tcpdump anzuschmeisen und musste dann feststellen, dass ich die pakete über das falsche interface geschickt habe (hatte zum testen nur ein V-Lan). aber als ich arp who has pakete geschickt habe, hat snort die geloggt. jetzt muss ich das heute nochmal in nem gescheiten netz probieren

vielen dnak

nochmal

joey