Logging 如何使snort停止向auth.log发出警报？_Logging_Configuration_Syslog_Snort

Logging 如何使snort停止向auth.log发出警报？

logging configuration

Logging 如何使snort停止向auth.log发出警报？,logging,configuration,syslog,snort,Logging,Configuration,Syslog,Snort,我似乎无法让snort停止登录syslog（特别是auth.log）。据我所知，它的运行方式似乎与配置中的-s参数或输出警报\u syslog:LOG\u AUTH LOG\u alert相同我正在运行使用/configure--enable reload编译的snort 2.9.7.0，除非缺少一些隐藏选项，否则我会告诉它以unified2的身份登录到merged.log，而不是其他地方 snort@snort:~$ ps -ef | grep snort snort 7524

我似乎无法让snort停止登录syslog（特别是auth.log）。据我所知，它的运行方式似乎与配置中的

-s

参数或

输出警报\u syslog:LOG\u AUTH LOG\u alert

相同

我正在运行使用

/configure--enable reload

编译的snort 2.9.7.0，除非缺少一些隐藏选项，否则我会告诉它以unified2的身份登录到merged.log，而不是其他地方

snort@snort:~$ ps -ef | grep snort
snort     7524     1  1 18:15 ?        00:00:00 /usr/bin/snort -c /etc/snort/snort.conf -i bond0.566 -l /var/log/snort/bond0.566 -D

snort@snort:~$ grep -R '^output' /etc/snort
/etc/snort/snort.conf:output unified2: filename merged.log, limit 128, mpls_event_types, vlan_event_types

这是我看到的一些日志

snort@snort:~$ tail -n 10 /var/log/auth.log
Feb 10 18:31:15 snort.example.com snort[32353]: [119:31:1] http_inspect: UNKNOWN METHOD [Classification: Unknown Traffic] [Priority: 3]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:32271 -> xxx.xxx.xxx.xxx:80
Feb 10 18:31:15 snort.example.com snort[32353]: [119:31:1] http_inspect: UNKNOWN METHOD [Classification: Unknown Traffic] [Priority: 3]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:32271 -> xxx.xxx.xxx.xxx:80
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:56534 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:56534 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:5:1] stream5: Bad segment, overlap adjusted size less than/equal 0 [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:5:1] stream5: Bad segment, overlap adjusted size less than/equal 0 [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:53271 -> xxx.xxx.xxx.xxx:443
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:2443 -> xxx.xxx.xxx.xxx:80
Feb 10 18:31:15 snort.example.com snort[32353]: [129:12:1] stream5: TCP Small Segment Threshold Exceeded [Classification: Potentially Bad Traffic] [Priority: 2]: <bond0.566> {TCP} xxx.xxx.xxx.xxx:2443 -> xxx.xxx.xxx.xxx:80

snort@snort：~$tail-n10/var/log/auth.log
2月10日18:31:15 snort.example.com snort[32353]：[119:31:1]http_inspect:未知方法[分类：未知流量][优先级：3]：{TCP}xxx.xxx.xxx.xxx:32271->xxx.xxx.xxx.xxx:80
2月10日18:31:15 snort.example.com snort[32353]：[119:31:1]http_inspect:未知方法[分类：未知流量][优先级：3]：{TCP}xxx.xxx.xxx.xxx:32271->xxx.xxx.xxx.xxx:80
2月10日18:31:15 snort.example.com snort[32353]：[129:12:1]stream5:TCP小段阈值超过[分类：潜在坏流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:56534->xxx.xxx.xxx.xxx:443
2月10日18:31:15 snort.example.com snort[32353]：[129:12:1]stream5:TCP小段阈值超过[分类：潜在坏流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:56534->xxx.xxx.xxx.xxx:443
2月10日18:31:15 snort.example.com snort[32353]：[129:12:1]stream5:TCP小段阈值超过[分类：潜在坏流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:53271->xxx.xxx.xxx.xxx:443
2月10日18:31:15 snort.example.com snort[32353]：[129:12:1]stream5:TCP小段阈值超过[分类：潜在坏流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:53271->xxx.xxx.xxx.xxx:443
2月10日18:31:15 snort.example.com snort[32353]：[129:5:1]stream5:错误段，重叠调整大小小于/等于0[分类：潜在错误流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:53271->xxx.xxx.xxx.xxx:443
2月10日18:31:15 snort.example.com snort[32353]：[129:5:1]stream5:错误段，重叠调整大小小于/等于0[分类：潜在错误流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:53271->xxx.xxx.xxx.xxx:443
2月10日18:31:15 snort.example.com snort[32353]：[129:12:1]stream5:TCP小段阈值超过[分类：潜在坏流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:2443->xxx.xxx.xxx.xxx:80
2月10日18:31:15 snort.example.com snort[32353]：[129:12:1]stream5:TCP小段阈值超过[分类：潜在坏流量][优先级：2]：{TCP}xxx.xxx.xxx.xxx:2443->xxx.xxx.xxx.xxx:80

这些警报中的大多数都是垃圾，我以后会过滤掉，警报本身并不困扰我，困扰我的是它们将进入auth.log，我不知道为什么。

我会检查以确保snort实际上是负责生成这些日志的进程。我看到过这样的情况，日志中出现的内容好像是snort生成的日志，这会让任何人感到不舒服。在/etc/barnyard2.conf或您的配置文件中，您可能会看到一行命令向syslog发送警报，如下所示：

output alert_syslog: LOG_AUTH LOG_INFO

您需要编辑该行，以便barnyard2将按照您的要求记录该行。

这些都是正在发出警报的解码器和预处理器规则（）。在snort.conf中是否有“禁用\u解码\u警报”选项？如果不是，则如果要停止警报，请尝试添加此项。我仍然不能100%确定为什么这些会向syslog发出警报，但据我所知，它们的日志记录应该与正常规则相同。我的配置中有“配置禁用\解码\警报”。现在我使用的配置大约99%来自2.9.7.0tar.gz。基本上，我更改了一些ipvar和path变量，并启用了unified2日志记录。只是进行了双重检查，但ps输出中的pid与日志中的pid不同，这是因为snort重新启动，日志消息来自较新的进程吗？否则会有另一个运行的snort进程不在ps输出中？是的，抱歉，只是进程重新启动。抢手货