このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

CentOS7にてsnortで検知されず このメッセージに返信する
日時: 2021/04/21(Wed) 09:46
名前: 松木
URL:
いつもお世話になっております。
早速ですが、サーバーログの確認など、メンテナンス作業を行っておりました。
すると、CentOS6のsnortからは、不正アクセスのログがたくさん吐き出されているのに、
CentOS7のSnortからは、全く出ていないことが判明しました。
過去ログもサイズ0でした。
ちなみに、pingテストでは、ログに吐き出されています。
なお、こちらの情報に従って、Snortをインストール。
BASEは、使わず、ALERTMODE=fastにて、ログに出力される様にしております。

導入から現在まで、全く機能していないかったように思います。
もう一台、CentOS7のサーバーがありますが、こちらも同様でした。

なお、設定ファイルのテスト、/var/log/messagesでは、正常起動。
pingテストでは、正常に稼働していることを確認しております。

なにか、情報がございましたら、ご教示ください。
よろしくお願いいたします。
記事編集 編集
Re: CentOS7にてsnortで検知されず このメッセージに返信する
日時: 2021/04/22(Thu) 22:58
名前: superweibu
URL:
考えられるのは

1,ログの出力を疑う

rsyslogがうまく設定できていないのかなーというと思います。
6とそんなに差分がないとおもうので
確認してみてください。

2,プロセス自体を疑う

6と7の入れてるsnortのバージョンはどうなっているんのでしょうか?
6はinit,7はsystemdと大分変りましたが途中でプロセスがしんでいませんかね?
ダウン検地のシェルスクリプトをつくってプロセスが0になったら
メールするみたいのを作って監視をする

CentOS 7は最新ですか?
これらの情報をお願いします。
記事編集 編集
Re: CentOS7にてsnortで検知されず このメッセージに返信する
日時: 2021/06/07(Mon) 19:24
名前: 松木
URL:
superweibuさん

回答ありがとうございます。

>考えられるのは
>
>1,ログの出力を疑う
>
>rsyslogがうまく設定できていないのかなーというと思います。
>6とそんなに差分がないとおもうので
>確認してみてください。


pingを不正扱いとしてチェックすると、ログに残りますので
ログの出力ではないと思います。

>
>2,プロセス自体を疑う
>
>6と7の入れてるsnortのバージョンはどうなっているんのでしょうか?
>6はinit,7はsystemdと大分変りましたが途中でプロセスがしんでいませんかね?
>ダウン検地のシェルスクリプトをつくってプロセスが0になったら
>メールするみたいのを作って監視をする

同様に、pingを不正扱いとしてチェックしてみました。
結果、ログに残りますのでプロセスも死んでいないようです。

>CentOS 7は最新ですか?

はい、最新です。

不正アクセスの定義ファイルが読み込まれていない・・・
とかですかね。
起動時のログを見る限り、CentOS6と同様なのですが・・・
記事編集 編集
Re: CentOS7にてsnortで検知されず このメッセージに返信する
日時: 2021/06/10(Thu) 18:33
名前: 松木
URL:
自己解決しましたので、ご報告です。
当初導入していたsnort-2.9.12-1と同バージョンのルールでは、この問題が発生していたのかもしれません。
CentOS6では、現在も正常稼働中です。
CentOS7のsnortをsnort-2.9.17.1-1と同バージョンのルールに置き換えましたら、動作するようになりました。
こちらのバージョンは、誤検知するものが増えて、除外するのがちょっと面倒でしたが・・・
誤検知除外したのち、ログには何も出力されていないのが、前バージョンと同じような感じもしますが・・・
機能していることは、判明いたしました。
このまま、様子を見てみます。ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -