Настройка журналирования событий Snort

Убедитесь, что на сервере, на котором запущен Snort, есть минимум 500 МБ свободного дискового пространства для сохранения одного журнала событий Snort.
По достижении объёма журнала 500 МБ Snort автоматически создаст новый файл, в имени которого будет указано текущее время в формате unixtime.
Мы рекомендуем отслеживать заполнение дискового пространства.

Чтобы настроить журналирование событий Snort:

1. Подключитесь к серверу, на котором установлен Snort, под учётной записью, обладающей административными привилегиями.
2. Измените конфигурационный файл Snort. Для этого в командном интерпретаторе выполните команду:

   sudo vi /usr/local/etc/snort/snort.lua

3. В конфигурационном файле измените содержимое блока alert_json:

   alert_json =

   {

   file = true,

   limit = 500,

   fields = 'seconds action class b64_data dir dst_addr dst_ap dst_port eth_dst eth_len \

   eth_src eth_type gid icmp_code icmp_id icmp_seq icmp_type iface ip_id ip_len msg mpls \

   pkt_gen pkt_len pkt_num priority proto rev rule service sid src_addr src_ap src_port \

   target tcp_ack tcp_flags tcp_len tcp_seq tcp_win tos ttl udp_len vlan timestamp',

   }

4. Для завершения настройки выполните следующую команду:

   sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -s 65535 -k none -l /var/log/snort -i <название интерфейса, который прослушивает Snort> -m 0x1b

В результате события Snort будут записываться в файл /var/log/snort/alert_json.txt.