Bonjour mes logs "messages" se remplissent de :
Mar 19 13:59:51 thewall kernel: eth1: Setting promiscuous mode.
Mar 19 13:59:51 thewall kernel: device eth1 entered promiscuous mode
je sais que c'est lié à snort, mais le problème c'est que mes logs contiennent des milliers de ces entrée, comment faire pour que ce message ne soit plus enregistré dans le journal ?
kernel: eth1: Setting promiscuous mode
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
kernel: eth1: Setting promiscuous mode
par androme » 20 Mars 2006 15:46
Dernière édition par androme le 21 Mars 2006 08:48, édité 2 fois au total.
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
-
androme - Lieutenant de vaisseau
- Messages: 194
- Inscrit le: 27 Fév 2006 18:20
- Localisation: Arles city
par androme » 20 Mars 2006 17:15
En me disant que ca venait de snort, j'ai effectué un :
cd /etc/snort/snort.conf /etc/snort/snort.conf.bak #copie au cas ou
service snortd stop
expand-template /etc/snort/snort.conf
service snortd start
et depuis plus ca va, mes logs (messages) ne sont plus submergés.
cd /etc/snort/snort.conf /etc/snort/snort.conf.bak #copie au cas ou
service snortd stop
expand-template /etc/snort/snort.conf
service snortd start
et depuis plus ca va, mes logs (messages) ne sont plus submergés.
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
-
androme - Lieutenant de vaisseau
- Messages: 194
- Inscrit le: 27 Fév 2006 18:20
- Localisation: Arles city
par androme » 21 Mars 2006 08:47
bon et bien après une nuit c'est revenu remplir mes logs donc c'est pas résolu
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
-
androme - Lieutenant de vaisseau
- Messages: 194
- Inscrit le: 27 Fév 2006 18:20
- Localisation: Arles city
par MasterSleepy » 21 Mars 2006 09:47
Salut,
D'apres ce message
http://www.snort.org/archive-1-1786.html
il faudrait modifier la ligne de commande snort afin d'ajouter -p
Seulement je ne sais pas si cela vas fonctionner et ne pourrait tester que ce soir voir ce WE.
Si tu veux essayer edite le fichier
/var/services/snortd/run
La ligne de commande se trouve a la fin du fichier et tu rajoutes -p a la fin de la ligne.
Si tu essayes, peux-tu me tenir au courant afin que je modifie la contrib pour snort.
Merci, A+
D'apres ce message
http://www.snort.org/archive-1-1786.html
il faudrait modifier la ligne de commande snort afin d'ajouter -p
Seulement je ne sais pas si cela vas fonctionner et ne pourrait tester que ce soir voir ce WE.
Si tu veux essayer edite le fichier
/var/services/snortd/run
La ligne de commande se trouve a la fin du fichier et tu rajoutes -p a la fin de la ligne.
Si tu essayes, peux-tu me tenir au courant afin que je modifie la contrib pour snort.
Merci, A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
http://www.vanhees.cc
-
MasterSleepy - Amiral
- Messages: 2625
- Inscrit le: 24 Juil 2002 00:00
- Localisation: Belgique
par androme » 21 Mars 2006 10:39
Je viens d'effectuer la manip, en début d'après midi je regarderais mes logs pour voir ce que cela donne et je te tiens au courant.
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
-
androme - Lieutenant de vaisseau
- Messages: 194
- Inscrit le: 27 Fév 2006 18:20
- Localisation: Arles city
par androme » 21 Mars 2006 15:26
Me voilà de retour quelques heures après, donc mes logs ne se remplissent plus de tous ces messages ouf !!!!!!!!!!!
Je pense que tu peux donc apporter la modif à ta contrib.
imagine qu'avec tous ces messages qui remplissent mon log "messages" j'arrivait à une taille de 8 megas pour une nuit .................................
maintenant je ne sais pas quelle repercution cela a sur snort d'être en promiscuous ou pas.
EDIT :
je pense avoir trouvé une meilleure solution
Après plusieurs recherches il est conseillé de laisser snort en mode promiscuous, ce qui lui permet d'analyser TOUS les paquets.
j'ai donc laissé le snort.conf comme il etait et, enlevé l'argument "-p" que j'avais mis.
En sachant que mon wan est sur mon eth1 j'ai effectué :
service snortd stop
ifconfig eth1 promisc
service snortd start
ce qui a comme résultat de forcer l'interface en mode promiscuous,et, surtout,
d'eviter que mon kernel indique que ma carte rentre et sort du mode promiscuous plusieurs fois par secondes et donc des milliers de fois par heure, remplissant inutilement mes logs.
Je pense que tu peux donc apporter la modif à ta contrib.
imagine qu'avec tous ces messages qui remplissent mon log "messages" j'arrivait à une taille de 8 megas pour une nuit .................................
maintenant je ne sais pas quelle repercution cela a sur snort d'être en promiscuous ou pas.
EDIT :
je pense avoir trouvé une meilleure solution
Après plusieurs recherches il est conseillé de laisser snort en mode promiscuous, ce qui lui permet d'analyser TOUS les paquets.
j'ai donc laissé le snort.conf comme il etait et, enlevé l'argument "-p" que j'avais mis.
En sachant que mon wan est sur mon eth1 j'ai effectué :
service snortd stop
ifconfig eth1 promisc
service snortd start
ce qui a comme résultat de forcer l'interface en mode promiscuous,et, surtout,
d'eviter que mon kernel indique que ma carte rentre et sort du mode promiscuous plusieurs fois par secondes et donc des milliers de fois par heure, remplissant inutilement mes logs.
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
PIII 550 | 384 Mo | 4,3 Go 2.5"
Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
-
androme - Lieutenant de vaisseau
- Messages: 194
- Inscrit le: 27 Fév 2006 18:20
- Localisation: Arles city
6 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité