質問:
私のシステムを構成しており、snort警告がある場合は、システムから電子メールを受信したいと思います。
試してみましたが、swatch関連文書があまり見つからず、非常に基本的で不完全な「サイトの使い方」とこの文書だけが見つかりました。onnocenter.or.id/wik
systemdと設定を使用してサービスを作成しましたが、機能しswatch.confません。
サンプルウォッチサービス:
1 [Unit]
2 Description=Monitor Logfiles and send Mail reports
3 After=syslog.target network.target
4
5 [Service]
6 Type=simple
7 ExecStart=/usr/bin/swatch --config-file=/home/kristjan/.swatchrc --input-record-separator="\n \n " --tail-file=/var/log/snort/alert --daemon
8 Restart=always
9 #--tail-file=/var/log/auth.log
10 #./swatch -c /usr/local/.swatchrc -input-record-separator="\n \n " -p="tail -f /var/log/snort/alert " -daemon
11 #-c This option specifies the location of the .swatchrc file.
12 #
13 #---input-record-separator With this command-line option you can specify the delimiting boundary for each alert. By default it is the newline character, \n.
14 #
15 #-p This option is used to read information outputted directly from a command. You can use it to monitor the output of a command for specific events.
16 #
17 #-t This option specifies the file to be monitored for security events.
18 #
19 #---daemon Append this switch to enable daemon mode.
20
21 [Install]
22 WantedBy=multi-user.target
.swatchrc:
1 watchfor /Priority \:1/
2 echo=normal
3 mail=myemailATTgmail.com, subject=Snort Security Alert!
4
5 watchfor /Priority \:2/
6 echo=normal
7 mail=mymailATTgmail.com, subject=Snort Security Alert!
8
9
私も見ましたが、syslog-ngまた不完全なメソッドだけが見つかり、とても複雑に見えました。
メガネ:
snort私のシステムはリポジトリのDebian Stretch 9.8です。また、logwatchサーバーにインストールして構成しました。
私のシステムでは、次のようにメールを送信します。
mail -s '"Subject: auth: FAILED su for root\n\n$_\n"' somethingATTgmail.com
質問:
snort(何をしますか?)からメール(私のサーバーが電子メールを送信するように設定されている)通知をどのように受け取ることができますか?
警告はどこにsnort記録されますか(どのファイル)?