我正在尝试在由 AWS Ubuntu 16.04 实例组成的系统上设置 IDS。我的 HIDS 由 OSSEC 2.8.1 管理,我的 NIDS 由 Snort 2.9.9.0 管理(由 Barnyard2 版本 2.1.14 解析,它还管理 Syslog 转发)。
在这个实例(以及之前的其他实例)中,当我一方面设置 OSSEC,另一方面设置 Snort/Barnyard2 时,我注意到 OSSEC(自动配置为使用 rsyslog 进行日志记录)本身运行良好。此外,当我在 barnyard2.conf 中输入此行并且 OSSEC 未运行时,Snort/Barnyard2 运行良好:
output alert_syslog: LOG_LOCAL5 LOG_ALERT
但是,当 HIDS 和 NIDS 都在运行/转发到 Syslog 时,我的 EC2 实例会冻结,我必须恢复映像才能使其再次运行(即使我重新启动实例也无法重新进入)。我尝试将 OSSEC 和 Snort/BY2 记录到不同的文件中,但没有成功。我还尝试设置磁盘辅助内存队列,但也没有成功。我真的需要设置它,我不能只在两者之间做出选择。
我已将此文件添加到/etc/rsyslog.d:
$template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n"
$ActionQueueType LinkedList
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
# For general Syslog info
*.* @@w.x.y.z:1514;GRAYLOGRFC5424
local5.alert /var/log/snort.log
local5.alert @@w.x.y.z:1515;GRAYLOGRFC5424
我还应该提到,该文件正确地将 Snort 和其他 rsyslog 数据转发到中央日志服务器,并且我还能够为 OSSEC 设置中央日志记录,但在任何给定实例中,我无法同时运行 OSSEC 和 Snort+Barnyard2+rsyslog 转发。
提前致谢!
答案1
我不使用 Barnyard2,只使用 vanilla snort。我记录到普通警报日志文件(而不是 syslog)。我将 OSSEC 配置为与其他日志文件一起使用该文件。OSSEC 有一个默认的 vanilla snort 警报日志提取器,与其他提取器类似。
只有 OSSEC 记录到 rsyslog。