0

我一直在使用 Snort IDS,并且成功地生成了一些测试日志。我面临的问题与他们的格式(alert_fast)有关。下面提供了一些示例日志。

07/23-20:08:56.631567 [ ] [1:2002911:4] ET SCAN 潜在 VNC 扫描 5900-5920 [ ] [分类:尝试信息泄漏] [优先级:2] {TCP} 10.42.42.253:58606 -> 10.42.42.25:5906

07/23-20:08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类:潜在不良流量] [优先级:2] {TCP} 10.42.42.253:40328 -> 10.42.42.56:3306

Syslog-ng 向它附加了某种标题:

7 月 23 日 20:08:56 SOME_IP 07/23-20:08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类:潜在不良流量] [优先级:2] {TCP 10.42.42.253:40328 -> 10.42.42.56:3306

我需要一种方法来摆脱这些初始数据。我尝试使用目的地d_file { file(“/var/log/file.log” template(“$MSG\n”)); };,但随后产生:

08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类:潜在的不良流量] [优先级:2] {TCP} 10.42.42.253:40328 -> 10.42.42.56:3306

如您所见,一些原始日志也被删除。

请注意,我想不惜一切代价避免更改为不同的 Snort 日志格式。当然必须有某种方法来解决这个问题?

4

2 回答 2

0

syslog-ng 将 syslog 标头附加到消息中,因为它们似乎不是格式良好的 syslog 消息,并且 syslog-ng 无法正确解析它们。

尝试为这些消息使用单独的源,并为源设置 flags(no-parse) 选项。然后目标中的模板(“$MSG\n”)应该会给你想要的结果。

问候,

罗伯特·费克特

于 2014-07-24T07:38:49.833 回答
0

感谢您回复罗伯特。不幸的是,我已经将标志(无解析)作为我原始设置的一部分。这是修复它的方法:

template my_template {
     template("$MSGHDR$MSG\n");
     template_escape(no);
};

...
destination some_name {
     file("/var/log/snort/alert" template(my_template));
};
于 2014-07-24T18:22:59.633 回答