Script de journalisation de SNORT

par **jubec** » 11 Mai 2004 11:47

Bonjour à tous, je recherche depuis deja plusieurs semaines un script me permettant de n'envoyer qu'une seule fois par jour les alertes de SNORT.

Ainsi, l'IDS tourne sans cesse, et quand il détecte des instrusions, il les stocke soit dans "alert.txt" (le fichier texte /var/log/snort), soit dans une base locale...

Puis le soir un script envoye les infos contenues dans alert.txt ou duplique la base de données vers un serveur prévu à cet effet qui bien entendu possède la base de données SNORT... :wink:

Je n'ai rien trouvé sur le net me permettant de faire cette manip alors si vous avez une idée ou un site je les prendrais volontier... :biz:

cdlmt Ju

par **popov** » 11 Mai 2004 14:01

L'idée que je puisse te proposer et tout simplement le faire toi meme, prend un book (de preference oreilly) sur Perl et tu seras content de realiser quelque chose.

Voici la bible perl.
http://www.amazon.fr/exec/obidos/ASIN/2 ... 38-7207447

There's more than one way to do it.

par **jubec** » 11 Mai 2004 14:13

popov a écrit:Voici la bible perl.
http://www.amazon.fr/exec/obidos/ASIN/2 ... 38-7207447

Je suis entièrement d'accord avec toi mais je ne pense pas qu'acheter ce livre me serve à grand chose... :cry:

J'ai pas trop la motive de dépenser 50? pour un livre dont j'aurai pas trop le tps de parcourir :roll:

De plus je pense ke je ne dois pas être le seul à me poser cette question donc si cela peut aider des gens ce serait cool...

Enfin, cette question a déjà du être traité car SNORT existe depuis kan meme assez lgtps et ce genre de problème est commun en entreprise car la centralisation est de rigueur. :wink:

Si qqun peut m'aider merci d'avance

par **vaneay** » 11 Mai 2004 14:18

il existe un petit plugin pour snort sous debian qui envoie un mail tous les jours à "root"
avec un résumé des alertes snort ( probleme je n'ai plus son nom ... )
Je vais le rechercher.

[edit]
voila je l'ai retrouvé ... snort_stats !
ici
[/edit]

Sinon le plus simple c'est de faire une ligne dans la crontab qui t'enverrait le résumé par mail ou en scp ...
par contre je ne sait pas si il y a un outil du type "mail" sur ipcop ...
dans le pire des cas tu trouve une version statique de l'outil et tu la pose sur l'ipcop.

Voila.

par **vanvan** » 11 Mai 2004 14:21

et en faisant un mix avec un script perl qui permettrait de récupérer les champs intéressants du fichier ( utilisation des fonctions de hachage ) puis un cron pour renvoyer tout ça par mail à destination de l'admin.

ça se tente comme idée ?

par **jubec** » 11 Mai 2004 14:30

vanvan a écrit:ça se tente comme idée ?

Franchement pourquoi pas mais ca à l'air chaud quand meme sachant ke j'ai js touché de perl... :cry:

Mais le prob n'est pas la !!!
Si c ma seule facon d'y arriver alors je choisi cette méthode mais je suis quasi sur que la solution existe déjà... :roll:

Voilou, ++

par **jubec** » 11 Mai 2004 14:35

vaneay a écrit:Sinon le plus simple c'est de faire une ligne dans la crontab qui t'enverrait le résumé par mail ou en scp
Voila.

Merci à toi :wink:

En fait j'ai déjà un petit générateur de mail sous forme de compte rendu : logcheck
En fait j'ai vraiment besoin d'envoyer les infos de ma base de manière "déportéeé, genre le soir kan tout le monde est rentré... :shock:

Je pense ke ca doit se faire assez facilement puisque les bases sont les mêmes mais je ne sais plus ou chercher ](*,)

Merci d'avance à tous

par **popov** » 11 Mai 2004 14:35

La solution existe certainement mais il faut que tu tombes dessus par chance, mais si tu t'habitues a faire tes scripts toi meme tu gagnes un temps fou !
Generalement tes questions comme les tiennes, l'admin realise ca lui meme, il perd pas son temps et il est tres productif et rentable.

Ca n'existe pas de vrais admin qui ne savent pas faire un minimum de programmation, sinon s'en ait pas un !

Deja tu as une tres bonne piste pour vraiment optimiser tes systemes.

par **jubec** » 11 Mai 2004 15:17

popov a écrit:Ca n'existe pas de vrais admin qui ne savent pas faire un minimum de programmation, sinon s'en ait pas un !

Je ne suis pas un admin, je suis un povr' stagiaire ki doit installer SNORT sur une vieille débian...

Jusque la tout se passait bien mais je suis obligé de me taper ce script, le prob c ke je ne me vois pas apprendre un langage maintenant puisq'il ne me reste que quelques semaines et pas mal de trucs à faire... :cry:

Il serait donc dommage de perdre du temps précieux alors ke la solution a déjà du être évoqué.

Merci à tous

par **popoch** » 11 Mai 2004 22:15

je penses que tu peux t en sortir sans faire de perl ....

j ai moi mm rajoute quelques lignes ds le cron pour m envoyer en mail tous les jours les logs de la journee de mon guardian (outil modifiant en tps reel le firewall via iptable en se basant sur les alertes snort)

j ai installe le plugin "PSAD / GUARDIAN" sur mon ipcop qui rajoute une fonction "sendmail" a partir de la, via cron je renommes mon fichier de log et j en cree un nouveau tous les jours, puis je me le mail ....

tout ca sans rien connaitre au perl.

par **jubec** » 12 Mai 2004 09:32

Ok je te remercie mais je pense que j'ai trouvé une piste...

En fait ce qui serai cool c'est ke je fasse la chose suivante :

- SNORT récupère les alertes ds la base locale
- un script dump cette base vers une distante prévue pour stocker les alertes
- un script vide la base locale pour qu'elle ne prenne pas trop de place.
En effet j'installe SNORT sur des petites bécannes donc le disque est limité. De plus la centralisation permettra un meilleure suivi... :shock:

Voilou le prob, mtnt je vé aller voir www.google.com

Merci à tous et si vs avez une suggestion...

Script de journalisation de SNORT

Script de journalisation de SNORT

Qui est en ligne ?