barnyard2 syslog 설정

    1.     barnyard2 syslog 설정

Snort에서 Output을 담당하고 있는 모듈인 barnyard에서는 syslog로의 출력도 지원한다. /etc/snort/barnyard2.conf 파일에서 syslog output 부분에 다음과 같이 설정해줍니다.

output alert_syslog: xxx.xxx.xxx.xxx, LOG_AUTH LOG_ALERT

앞의 주소는 로그를 보낼 원격지 주소이고 뒷 부분은 어떤 종류의 로그를 보낼지를 정의합니다.

 

    2.     rsyslog 설정

/etc/rsyslog.conf 파일에서 rsyslog를 설정할 수 있습니다.

# Provides UDP syslog reception 부분에서 udp포트를 정의하는데 기본으로 514로 정의되어있으므로 아래 두 줄의 주석만 해제해주면 됩니다.

$ModLoad imudp.so
$UDPServerRun 514

그리고 맨 아랫줄에 다음을 추가

Auth.Alert @211.115.100.201

앞은 어떤 로그를 보낼지를 정의하고 뒤는 1번에서 정의한 원격지 로그 서버를 정의해주면 된다.

barnyard는 로그를 /var/log/messages에 쌓기만 하고 r

syslog 데몬이 원격지로 전송하는 것이므로 둘 다 올바른 설정이 되어야만 로그가 전송된다.

설정이 끝나면 rsyslog와 barnyard2를 재시작하고 

tshark등으로 캡쳐하여 정상적으로 전송되는지 확인한다.

netstat –naup 명령으로 514 포트가 열려있는지 확인할 수 있다.

 

 

 

 

 

 

출처 : http://mythfeal.blog.me/130130832638