用鼻子哼哼
Snort是一个开源的网络入侵检测系统,可以检测威胁,是一个安全洋葱解决方案
在你开始之前
必须配置具有Snort日志的每台计算机,以便将数据发送到InsightIDR。
从一个作为Security Onion一部分运行Snort的实例中,Snort日志来自每台机器,并将按照以下步骤显示在InsightIDR中。
要将Snort日志发送到InsightIDR,请执行以下操作:
- 停止Snort和syslog ng服务。
- 通过运行以下命令修改Barnyard2-1.conf
sudo nano/etc/nsm/
./barnyard2-1.conf - 添加以下行:
输出日志\系统日志\完整:传感器\名称$传感器名称,本地
文本
1.输出日志\系统日志\完整:传感器\名称$传感器名称,本地
- 保存文件。
- 修改文件
syslog-ng.conf
通过运行以下命令:sudo nano/etc/syslog ng/syslog-ng.conf
- 找到线路
日志{source(s_syslog);destination(d_net);};
- 在其上方添加以下内容:
目的地数据网络{tcp($your_collector_ip“端口(、事件源端口)日志_fifo_大小(1000));};
- 保存文件。
- 使用以下命令重新启动syslog ng:
sudo服务syslog ng重新启动
- 重新启动snort和barnyard并运行以下命令:
sudo规则更新
您现在应该能够在InsightIDR中看到Snort日志。
如何在InsightIDR中配置此事件源
这页对你有帮助吗?