별로 적을 내용은 없지만 랍형이 적으라고 압박을 주시는 관계로 정리를 해보겠습니다. 테스트 서버도 Ubuntu Sarge였던것 같은데... 서버관리는 제 권한이 아니라;; 자세한건 빨콩횽한테 물어보세요.
우선 /etc/snort/snort.conf 파일을 열고 아래의 내용을 주석해제 해줍니다.
그리고 /etc/init.d/snort restart 따위로 재시작을 해주시면 snort에서 만들어지는 alert 정보들을 /var/log/auth.log에 쌓아주는 모습을 확인하실 수 있을겁니다.
그럼 외부로는 어떻게 보내느냐? 이 syslog를 수정해주면 됩니다. 물론 LOG_AUTH는 시스템에서 쓰고있는 곳이 많이 있을테니 그것 말고 LOG_LOCAL*을 대신 사용해주면 됩니다.
syslog의 설정은 /etc/syslog.conf 파일을 통해 가능합니다. 아래 내용을 추가해주세요.
이렇게 LOG_LOCAL0을 설정해주고 다시 /etc/syslog.conf를 열어서 LOG_AUTH를 아래와 같이 바꿔줍니다.
이렇게 하고나니까 랍형이 알아서 신호 잘 받고 뿌려주시더라구요. 내용은 어떻게 받고 출력하는지는 랍형에게 문의 바랍니다.
ps1. 앟싸~ 오늘 할 일 끗!!
ps2. 정말 쓰기 싫었던게 확 티나는 글이네요. -_- 이게 다 랍횽아 때문이라능~
우선 /etc/snort/snort.conf 파일을 열고 아래의 내용을 주석해제 해줍니다.
output alert_syslog: LOG_AUTH LOG_ALERT
그리고 /etc/init.d/snort restart 따위로 재시작을 해주시면 snort에서 만들어지는 alert 정보들을 /var/log/auth.log에 쌓아주는 모습을 확인하실 수 있을겁니다.
그럼 외부로는 어떻게 보내느냐? 이 syslog를 수정해주면 됩니다. 물론 LOG_AUTH는 시스템에서 쓰고있는 곳이 많이 있을테니 그것 말고 LOG_LOCAL*을 대신 사용해주면 됩니다.
syslog의 설정은 /etc/syslog.conf 파일을 통해 가능합니다. 아래 내용을 추가해주세요.
local0.* @[목적지 IP 주소]
이렇게 LOG_LOCAL0을 설정해주고 다시 /etc/syslog.conf를 열어서 LOG_AUTH를 아래와 같이 바꿔줍니다.
output alert_syslog: LOG_LOCAL0 LOG_ALERT
이렇게 하고나니까 랍형이 알아서 신호 잘 받고 뿌려주시더라구요. 내용은 어떻게 받고 출력하는지는 랍형에게 문의 바랍니다.
ps1. 앟싸~ 오늘 할 일 끗!!
ps2. 정말 쓰기 싫었던게 확 티나는 글이네요. -_- 이게 다 랍횽아 때문이라능~


최근 덧글