Xeraph@NCHOVY

www.xeraph.com

snort syslog 로그 샘플 NCHOVY

[2009-11-02 17:55:46.953+0900] (/10.10.0.10:514) => <33>snort[20586]: [1:1000000:0] what the hell {TCP} 10.10.0.10:5432 -> 10.10.0.8:1837

[2009-11-02 17:55:50.918+0900] (/10.10.0.10:514) => <33>last message repeated 7 times

[2009-11-02 18:08:59.228+0900] (/10.10.0.10:514) => <129>snort[24858]: [122:17:0] (portscan) UDP Portscan[Priority: 3]: {PROTO:255} 220.45.142.139 -> 10.10.0.10

[2009-11-02 18:13:28.419+0900] (/10.10.0.10:514) => <129>snort[24858]: [1:486:4] ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited [Classification: Misc activity] [Priority: 3]: {ICMP} 220.45.142.139 -> 10.10.0.2

감자가 alert_syslog 관련해서 내용 좀 추가할 예정

[A:B:C]에서 A는 GENERATOR ID, B는 SID, C는 REV

앞에 [2009-11-02 17:55:46.953+0900] (/10.10.0.10:514) =>  부분은 
크라켄 시스로그에서 찍은 부분이고 뒷부분이 실제 로그 데이터

파싱하기 귀찮게 생겼네..
태그 :

포스트 메타 정보

퍼블리싱 및 추천

같은 카테고리의 글

트랙백(1) 덧글(2)

트랙백

  • Snort의 alert 신호를 원격으로 전송하는 방법. 2009/11/04 14:34 #

    별로 적을 내용은 없지만 랍형이 적으라고 압박을 주시는 관계로 정리를 해보겠습니다. 테스트 서버도 Ubuntu Sarge였던것 같은데... 서버관리는 제 권한이 아니라;; 자세한건 빨콩횽한테 물어보세요. 우선 /etc/snort/snort.conf 파일을 열고 아래의 내용을 주석해제 해줍니다. output alert_syslog: LOG_AUTH LOG_ALERT 그리고 /etc/init.d/snort restart 따위로 재시작을...... more

덧글

  • 서린 2009/11/03 01:22 # 답글

    굳이 syslog 거쳐서 딸 필요 있나요?

  • xeraph 2009/11/03 09:43 #

    외부 서버에 연동하려면 syslog로 쏘는게 편해서요~
댓글 입력 영역
방명록 포토로그

프로필

엔초비 보안과 개발 이야기    (주로 크라켄 문어발 개발)by xeraph

검색

블로그내 검색 영역

카테고리

최근 트랙백

태그

태그 전체보기

RSS

RSS
www.xeraph.com is powered by Egloos. Subscribe to RSS. Skin designed by 홈쥬인.