Hallo zusammen,
ich bin auf der Suche nach IDS-Logs - d. h. die Dateien, die illegale Zugriffe, Einbruchsversuche, Portscans usw. anzeigen sollen.
Beim Setup des efw habe ich die Eindringlingserkennung aktiviert, automatisches Update der rule-Dateien. Zunächst waren logs da - wenn ich z.B. einen Portscan auf das grüne Netzwerk-Interface gestartet habe. Nach ein paar Tagen habe ich wieder geschaut und fand nichts.
Also habe ich mich auf die Suche gemacht.
- Läuft snort? - ja, ps zeigt
root 16707 1 3 17514 48036 1 12:50 ? 00:00:00 /usr/sbin/snort -d -D -Q -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort -o -m 022
(die hohe process-ID ist entstanden, weil ich snort neu gestartet habe, und zwar von der WEB-Oberfläche aus. )
- Sind die Rules-Dateien fehlerhaft? - snort hat sie ohne auffällige Fehlermeldungen lesen können, was ich durch manuellen Start einer weiteren Instanz von snort geprüft habe. Liest seine Regeln, schreibt eine Menge Zeug, aber keine Fehlermeldungen.
- Werden log-Dateien geschrieben? - Ja, /var/log/snort enthält Dateien, die meisten gezippt (*.gz), jeweils eine alert.ID und eine snort.log.ID mit heutigem Datum existieren, sind aber 0 Bytes groß. Auf der Web-Oberfläche kann ich aber nichts anzeigen für den heutigen Tag. Insgesamt sind für jeden Tag alert.ID.gz - Dateien vorhanden, aber alle sind gleich groß - 20 Bytes, wenn man sie auspackt, sind sie leer. lediglich die ersten Tage des Monats habe alert.ID.gz-Dateien, die größer sind und auch Einträge enthalten.
Das Problem könnte mit automatisch aktualisierten rules-Dateien zusammen hängen. Das ist die einzige signifikante Änderung, an die ich mich erinnern kann.
Hat irgendjemand eine Idee?