Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

syslog-ng Filter erzeugt Schleife

Mitglied: Sub-Zero-1

Sub-Zero-1 (Level 1) - Jetzt verbinden

19.03.2008 um 13:03 Uhr, 3564 Aufrufe

Hallo!

Im Zuge meiner Abschlussarbeit, bin ich dabei ein IDS mittels Snort zu installieren. Es läuft alles Prima. Viele Probleme wurden gelöst...bis auf eins.

Snort loggt alle Alarme im unified-Format auf die Platte. Dort werden diese von 2 unterschiedlichen Barnyard Prozessen entgegengenommen und einmal in eine MySQL Datenbank geschrieben und einmal in Syslog Meldungen umgewandelt. Dies funktioniert wunderbar!
Nun will ich Priorität 1 Alarme mittels einem Filter in syslog-ng per mail an den zuständigen Admin schicken. Doch mein Filter erzeugt eines Schleife und bombardiert die mailq, obwohl ich mittels Nessus nur ca. 3-4 Priorität 1 Alarme auslöse, die ich auch alle mittels BASE sehe! D.h. selbst wenn der Nessus Scan vorbei ist, wird die mailq trotzdem durch syslog-ng zubombardiert. Irgendwie entsteht eine Schleife...?

Ich habe nun die syslog-ng.conf etwas gekürzt und trotzdem sehe ich den Fehler nicht.

Sensor1:/usr/local/bin# cat /etc/syslog-ng/syslog-ng.conf

source src {unix-stream("/dev/log"); internal();};
destination email{program("/usr/local/bin/alert_mail.sh");};
filter high {match("\[Priority: 1\]");};
log {source(src);filter(high); destination(email);};

Ich habs auch schon mit folgendem Filter versucht:
#Quelle
source snort_auth {
internal();
unix-stream("/dev/log");
};
#Ziel = alert_mail
destination df_e_mail {program ("/usr/local/bin/alert_mail.sh "); };
  1. Filter für Priorität 1 Alarme
filter f_snort_prioritaet1 { match("[Priority: 1]"); };

  1. Alarmmeldungen verschicken
log {source(snort_auth); filter(f_snort_prioritaet1); destination(df_e_mail);};

Falls es hilft, alert_mail.sh:

Sensor1:/usr/local/bin# cat /usr/local/bin/alert_mail.sh
#!/bin/sh

cat << EOF | mail -s "High Priority Snort Alert" Sub-Zero@xxx.de
Alarm der Prioritaet 1
EOF



Die erste Meldung wird korrekt ausgeführt. Mache ich ein ps -ef so sehe ich das ausgeführte skript. Führe ich ne Sekunden später ps -ef aus, so ist das Skript nicht mehr da und 1 Sekunde später läuft es wieder. top zeigt diesen Prozess als Zombie an. Es entsteht so eine Schleife, die ich nur anhalten kann wenn ich syslog-ng stoppe. Starte ich syslog-ng wieder so tut er nichts, bis er wieder neue Alarme mit Priorität 1 erhält --> neue Schleife, obwohl es nur 4 Meldungen der Priorität 1 sind, die durch Nessus erzeugt werden.

Irgend eine Idee?

Danke und Gruß

Sub-Zero
Ähnliche Inhalte
Ubuntu
Syslog-ng Analyzer - wer kennt einen?
gelöst Frage von samet22Ubuntu4 Kommentare

Hallo Leute, Ich habe eine Zyxel Firewall im Einsatz bei welchem ich jetzt den Traffic auf meinem Linux-Server mitlogge. ...

Microsoft
Einfacher Syslog Server gesucht
Frage von clonexMicrosoft10 Kommentare

Hallo, ich suche einen einfachen Weg, Syslogs zu sammeln. Sprich der Dienst soll einfach nur Syslogs von Switchen und ...

Monitoring
Syslog mit welchem Tool
Frage von CoreknabeMonitoring2 Kommentare

Moin Wissende, ich bin auf der Suche nach einem Syslogserver, der die Logdaten von Servern und Netzwerkgeräten einsammelt und ...

Erkennung und -Abwehr

Empfehlung Syslog-Eventlog Zentralisierung

Frage von Der-PhilErkennung und -Abwehr12 Kommentare

Hallo! Ich suche eine schöne Lösung, um Syslog und Eventlog (von Windows-Systemen) zu zentralisieren. Wie macht ihr das? Aufgabenstellung ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 1 TagInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 2 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 2 TagenSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte30 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell25 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Microsoft
Übertragung von MS Volumenlizenzen
Frage von SherlockineMicrosoft20 Kommentare

Ich bin Angestellte in einer kleinen 10-köpfigen IT-Firma, die Netzwerklösungen, Telefonielösungen und Ähnliches anbietet. Im Sommer hatten wir einen ...