このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

Snortのsfportscanについて このメッセージに返信する
日時: 2014/09/30(Tue) 21:42
名前: スパムゴン
URL:
現在、Snort-2.9.6.2を使っているものです.
シグネチャを使ってportscanを検知しようと思うと検知漏れが多く,プリプロセッサのsfportscanを使用しようと思い,/etc/snort/snort.confに以下のように設定を行いました.

preprocessor sfportscan: proto { all } scan_type { all } memcap { 10000000 } sense_level { high } logfile { /var/log/snort/portscan.log }

その後,自分でportscanを行ってみて,portscan.logにログが出力されることは確認できました.
しかしできればルールファイルによって出力されたアラートログと同じ形式で同じ場所に出力されるようにしたいのです.現在,通常のアラートログはunified2形式で出力されるようになっています.なので,sfportscanによるログもunified2形式で出力したいです.

snortの公式マニュアル(README.sfportscan)には"In order to get all the portscan information logged with the alert〜"といった記述があるので,通常アラートと同じ場所に出力する方法はあるみたいなのですが,いまいちどうすればよいのかわかりません.

もし知っている方がおられましたら是非ご教授ください.
記事編集 編集
Re: Snortのsfportscanについて このメッセージに返信する
日時: 2014/09/30(Tue) 23:19
名前: スパムゴン
URL:
英語の質問サイトをいくつか見ましたが,どこもできないと結論していますね…,やっぱりできないのかな
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -