Snort scheint keine Logs mehr zu schreiben

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Snort scheint keine Logs mehr zu schreiben

    Hallo zusammen,

    ich bin auf der Suche nach IDS-Logs - d. h. die Dateien, die illegale Zugriffe, Einbruchsversuche, Portscans usw. anzeigen sollen.

    Beim Setup des efw habe ich die Eindringlingserkennung aktiviert, automatisches Update der rule-Dateien. Zunächst waren logs da - wenn ich z.B. einen Portscan auf das grüne Netzwerk-Interface gestartet habe. Nach ein paar Tagen habe ich wieder geschaut und fand nichts.

    Also habe ich mich auf die Suche gemacht.
    - Läuft snort? - ja, ps zeigt
    root 16707 1 3 17514 48036 1 12:50 ? 00:00:00 /usr/sbin/snort -d -D -Q -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort -o -m 022
    (die hohe process-ID ist entstanden, weil ich snort neu gestartet habe, und zwar von der WEB-Oberfläche aus. )

    - Sind die Rules-Dateien fehlerhaft? - snort hat sie ohne auffällige Fehlermeldungen lesen können, was ich durch manuellen Start einer weiteren Instanz von snort geprüft habe. Liest seine Regeln, schreibt eine Menge Zeug, aber keine Fehlermeldungen.

    - Werden log-Dateien geschrieben? - Ja, /var/log/snort enthält Dateien, die meisten gezippt (*.gz), jeweils eine alert.ID und eine snort.log.ID mit heutigem Datum existieren, sind aber 0 Bytes groß. Auf der Web-Oberfläche kann ich aber nichts anzeigen für den heutigen Tag. Insgesamt sind für jeden Tag alert.ID.gz - Dateien vorhanden, aber alle sind gleich groß - 20 Bytes, wenn man sie auspackt, sind sie leer. lediglich die ersten Tage des Monats habe alert.ID.gz-Dateien, die größer sind und auch Einträge enthalten.

    Das Problem könnte mit automatisch aktualisierten rules-Dateien zusammen hängen. Das ist die einzige signifikante Änderung, an die ich mich erinnern kann.

    Hat irgendjemand eine Idee?