哼声
概述
Snort“是一个开源,免费和轻量级的网络入侵检测系统(NIDS)软件,用于Linux和Windows,以检测新兴威胁。”
在你开始之前
从作为安全洋葱的一部分运行Snort的实例,Snort日志来自每个单独的机器,并将出现在具有以下步骤的Insigrops中。
1:通过运行修改barnyard2-1.confsudo nano / etc / nsm / <插入嗅探界面> / barnyard2-1.conf
。从这里添加以下行
文本
1输出log_syslog_full:sensor_name $ sensor-name,local
- 然后保存文件。
2:通过运行修改syslog-ng.confsudo nano /etc/syslog-ng/syslog -ng.conf.
并在上面添加以下行日志{source(s_syslog);目的地(D_NET);};
文本
1目标d_net {tcp(“$ your_collector_ip”端口(¢event_source-port)log_fifo_size(1000));};
- 然后保存文件。
3:打开终端循环服务
- 使用以下命令重新启动syslog-ng:
文本
1sudo服务syslog-ng重启
- 重新启动Snort和Barneard并运行以下命令:
文本
1sudo规则更新
如何配置此事件源
- 从仪表板中,选择左侧菜单上的数据集合
- 在页面的右上角,选择添加数据
- 从安全数据部分中选择IDS图标
- 选择收集器,并选择命名您的活动源
- 从事件源选项列表中,选择Snort
- 选择一个时区,或者可选择选择美国时区
- 可选择选择发送未过滤的日志
- 在几分钟内配置不活动超时阈值。
- 选择侦听syslog或log aggregator;两者都要求您指定端口和协议。如果选择TCP,可选择选择加密事件源
- 如果您选择加密,请选择按钮“下载证书”,该按钮将下载Rapid7的证书。此文件将被调用
Rapid7ca.pem.
在日志转发期间,将允许Insightops和Snort彼此相互信任“。
这个页面对你有帮助吗?