질문:
내 시스템을 구성 해 왔으며 snort경고가 있으면 시스템에서 이메일을 받고 싶습니다.
시도했지만 swatch관련 문서를 많이 찾을 수 없었고 매우 기본적이고 불완전한 "사이트 사용 방법"과 이 문서만 찾을 수 있었습니다.onnocenter.or.id/wik
systemd및 설정을 사용하여 서비스를 만들었지 swatch.conf만 작동하지 않습니다.
견본 시계 서비스:
1 [Unit]
2 Description=Monitor Logfiles and send Mail reports
3 After=syslog.target network.target
4
5 [Service]
6 Type=simple
7 ExecStart=/usr/bin/swatch --config-file=/home/kristjan/.swatchrc --input-record-separator="\n \n " --tail-file=/var/log/snort/alert --daemon
8 Restart=always
9 #--tail-file=/var/log/auth.log
10 #./swatch -c /usr/local/.swatchrc -input-record-separator="\n \n " -p="tail -f /var/log/snort/alert " -daemon
11 #-c This option specifies the location of the .swatchrc file.
12 #
13 #---input-record-separator With this command-line option you can specify the delimiting boundary for each alert. By default it is the newline character, \n.
14 #
15 #-p This option is used to read information outputted directly from a command. You can use it to monitor the output of a command for specific events.
16 #
17 #-t This option specifies the file to be monitored for security events.
18 #
19 #---daemon Append this switch to enable daemon mode.
20
21 [Install]
22 WantedBy=multi-user.target
.swatchrc:
1 watchfor /Priority \:1/
2 echo=normal
3 mail=myemailATTgmail.com, subject=Snort Security Alert!
4
5 watchfor /Priority \:2/
6 echo=normal
7 mail=mymailATTgmail.com, subject=Snort Security Alert!
8
9
저도 살펴봤는데, syslog-ng또 불완전한 메소드만 발견했고 굉장히 복잡해 보였습니다.
안경:
snort내 시스템은 저장소의 Debian Stretch 9.8입니다 . 또한 logwatch서버에 설치하고 구성했습니다.
내 시스템에서 다음과 같이 메일을 보냅니다.
mail -s '"Subject: auth: FAILED su for root\n\n$_\n"' somethingATTgmail.com
질문:
snort(무엇을 하시겠습니까?)로부터 메일(내 서버가 이메일을 보내도록 설정되어 있음) 알림을 어떻게 받을 수 있나요?
경고는 어디에 snort기록됩니까(어떤 파일)?