현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

snort의 unixsock 사용?

hurryon의 이미지
글쓴이: hurryon / 작성시간: 토, 2004/10/16 - 1:38오전

snort의 아웃풋 기능 중에서 unixsock을 사용할수 있는 옵션이 있습니다. 이 옵션을 사용하면 snort의 로그나 경보 정보를 다른 프로세스로 전달 할 수 있다고 알고 있습니다만...위의 옵션이 제대로 동작하지 않아서 이렇게 질문을 드립니다.

스노트의 버전: 2.2.0
리눅스: 레드헷 9.0

snort.conf 파일에서 옵션을 다음과 같이 주었습니다. 

output alert_unixsock

/var/log/messages 파일에 다음과 같은 에러가 나옵니다. 
 
/var/log/snort/snort_alert file doesn't exist or isn't writable!

아무래도 소켓을 제대로 생성해 내지 못하고 있는 듯합니다. 으흠...혹시 저와 같은 문제을 해결하신 분이 있다면 조언을 부탁합니다. 프로젝트가 막바지인데...당연히 될거라고 생각되었던 부분에서 걸리는군요. 구글에서 어지간히 검색을 해보았지만...적당한 해결책을 찾지 못했습니다. 또한 다른 머신에서도 같은 결과입니다.
Forums: 
설치 및 활용 QnA
hurryon의 이미지

글쓴이: hurryon / 작성시간: 토, 2004/10/16 - 3:07오전

mknod 명령으로 임의로 파일을 만들어도 될까요? 으흠...만들려고 하니...메니저 넘버와 마니너 넘버를 넣어야 할거 같네요. 이렇게 해도 될련지...임의의 unix domain socket 을 만드는 법은 어떨련지요?

orangecrs의 이미지

글쓴이: orangecrs / 작성시간: 토, 2004/10/16 - 8:42오후

snort에서 디폴트 snort.conf에 의해 저장되는 경로와 로그파일이 말씀하신 경로의 파일입니다. unixsock은 사용을 안해봐서 잘 모르겠구요. 저같은 경우는 파일과
mysql로 저장하게 해두고 사용하고 있습니다.

snort는 실행시 하나의 에러라도 뜨면 실행이 안됩니다.
심지어 실행되다가 저같은 경우 mysql을 사용하는데 이에 에러가 뜨면 곧바로 죽어버리죠...

/var/log/snort/snort_alert file doesn't exist or isn't writable!

소켓하고는 관계없구요, 기본적으로 저장되는 파일이 없기때문인 것 같습니다. unixsock을 열기도전에 파일저장의 에러가 되니깐 멈춰버린거죠...
일단 unixsock 빼두시고 하나씩해 보시길 바랍니다. 저 설정 경로의 디렉토리와 파일권한을 잘설정하시구요... 없는 경우 디렉토리는 만들어 주셔야합니다. 파일은 디렉토리 권한설정만 맞다면 파일을 생성됩니다... 참고로 snort계정 만드셔서 그쪽으로 권한주시길 권장합니다.

참고로 저경로에 저장되는 파일을 보여드리면 아래와 같습니다.

Quote:

ramania snort # pwd
/var/log/snort
ramania snort # ps ax|grep snort
5837 ? S 0:00 /usr/bin/snort -D -b -d -u snort -i eth0 -l /var/log/snort -c /etc/snort/snort.conf -A full
20740 pts/1 S 0:00 grep snort
ramania snort # ls -al
합계 580
drwxrwx--- 2 snort snort 4096 10월 16 15:57 .
drwxr-xr-x 10 root root 4096 10월 16 20:28 ..
-rw-r--r-- 1 root root 0 8월 31 18:44 .keep
-rw------- 1 snort snort 216393 10월 16 20:36 alert
-rw------- 1 snort snort 100 8월 31 19:02 snort.log.1093946499
-rw------- 1 snort snort 954 8월 31 19:34 snort.log.1093946650
-rw------- 1 snort snort 460 8월 31 20:14 snort.log.1093950124
-rw------- 1 snort snort 550 8월 31 20:38 snort.log.1093952240
-rw------- 1 snort snort 450 8월 31 21:06 snort.log.1093952522
-rw------- 1 snort snort 1620 9월 1 01:54 snort.log.1093954600
-rw------- 1 snort snort 2556 9월 1 14:24 snort.log.1094002912
-rw------- 1 snort snort 100 9월 1 21:11 snort.log.1094040670
-rw------- 1 snort snort 3034 9월 2 02:05 snort.log.1094042063
-rw------- 1 snort snort 298 9월 2 14:53 snort.log.1094101284
-rw------- 1 snort snort 450 9월 2 17:25 snort.log.1094109880
-rw------- 1 snort snort 1468 9월 3 00:12 snort.log.1094148124
-rw------- 1 snort snort 27041 9월 4 02:51 snort.log.1094215718
-rw------- 1 snort snort 100 9월 4 11:47 snort.log.1094257222
-rw------- 1 snort snort 100 9월 4 12:54 snort.log.1094260885
-rw------- 1 snort snort 450 9월 4 19:54 snort.log.1094286315
-rw------- 1 snort snort 176 9월 4 20:54 snort.log.1094289595
-rw------- 1 snort snort 830 9월 5 01:44 snort.log.1094304315
-rw------- 1 snort snort 146 9월 5 14:04 snort.log.1094349579
-rw------- 1 snort snort 1392 9월 6 04:59 snort.log.1094415268
-rw------- 1 snort snort 176 9월 6 14:55 snort.log.1094440331
-rw------- 1 snort snort 1630 9월 6 20:37 snort.log.1094465452
-rw------- 1 snort snort 450 9월 7 00:29 snort.log.1094479438
-rw------- 1 snort snort 15421 9월 7 11:05 snort.log.1094518624
-rw------- 1 snort snort 328 9월 7 14:20 snort.log.1094531007
-rw------- 1 snort snort 146 9월 19 22:41 snort.log.1095601201
-rw------- 1 snort snort 146 9월 19 22:49 snort.log.1095601692
-rw------- 1 snort snort 692 9월 20 00:09 snort.log.1095601863
-rw------- 1 snort snort 100 9월 20 11:58 snort.log.1095648195
-rw------- 1 snort snort 759 9월 20 14:20 snort.log.1095655372
-rw------- 1 snort snort 5062 9월 21 02:54 snort.log.1095677939
-rw------- 1 snort snort 100 9월 20 19:05 snort.log.1095694888
-rw------- 1 snort snort 1970 9월 22 00:41 snort.log.1095768828
-rw------- 1 snort snort 100 9월 23 22:34 snort.log.1095930888
-rw------- 1 snort snort 100 9월 25 03:53 snort.log.1096061238
-rw------- 1 snort snort 1770 9월 25 16:09 snort.log.1096083966
-rw------- 1 snort snort 1486 9월 26 04:10 snort.log.1096145043
-rw------- 1 snort snort 100 9월 27 00:19 snort.log.1096217706
-rw------- 1 snort snort 2046 9월 27 17:56 snort.log.1096276507
-rw------- 1 snort snort 1012 9월 28 02:43 snort.log.1096310699
-rw------- 1 snort snort 176 9월 28 09:34 snort.log.1096325171
-rw------- 1 snort snort 100 9월 28 19:37 snort.log.1096358867
-rw------- 1 snort snort 100 9월 29 15:36 snort.log.1096428799
-rw------- 1 snort snort 176 9월 30 17:16 snort.log.1096527485
-rw------- 1 snort snort 100 9월 30 15:55 snort.log.1096528240
-rw------- 1 snort snort 252 10월 1 02:11 snort.log.1096562472
-rw------- 1 snort snort 8662 10월 1 01:09 snort.log.1096570294
-rw------- 1 snort snort 6270 10월 2 00:42 snort.log.1096643262
-rw------- 1 snort snort 252 10월 4 15:33 snort.log.1096849908
-rw------- 1 snort snort 176 10월 5 21:50 snort.log.1096978250
-rw------- 1 snort snort 480 10월 5 19:31 snort.log.1096980759
-rw------- 1 snort snort 26260 10월 8 00:42 snort.log.1097149504
-rw------- 1 snort snort 800 10월 9 17:47 snort.log.1097299365
-rw------- 1 snort snort 1058 10월 11 14:01 snort.log.1097466678
-rw------- 1 snort snort 100 10월 13 18:58 snort.log.1097655873
-rw------- 1 snort snort 146 10월 16 20:36 snort.log.1097909865
ramania snort #

---------------------------------------------------
야!...

hurryon의 이미지

글쓴이: hurryon / 작성시간: 일, 2004/10/17 - 6:25오후

음...답변 주신 분과 같이 syslog와 db로 출력을 하고 있습니다. 잘 사용이 됩니다. 하지만 snort 에서는 제가 언급한 메시지가 나온다 할지라도 작동은 됩니다. 바로 멈추는게 아니죠.

또한 위에서 언급한 내용은 unsock 과 관련이 있는 내용입니다. 스노트 소스에서 README.unsock 을 읽어 보시면 알수 있습니다.

http://www.hurryon.org/index.php/hurryon/2004-10#14

위의 URL은 제가 snort unsock 과 관련된 정보를 찾기 위해 메모해 놓은 내용입니다.

orangecrs의 이미지

글쓴이: orangecrs / 작성시간: 일, 2004/10/17 - 10:24오후

음... 찾아보니 몰랐던 unsock에 대해 찾아보게 되었네요...
지금 저도 해보고 있습니다.

한데 한가지 여쭙고 싶은게 있는데 ps ax|grep snort 의 결과를 보여주시면 참고가 될듯합니다... 꼭 좀보여 주셨으면 좋겠습니다...^^

---------------------------------------------------
야!...

hurryon의 이미지

글쓴이: hurryon / 작성시간: 월, 2004/10/18 - 10:37오전

ps -ef | grep snort 의 결과는 다음과 같습니다.

root     30339     1  0 Oct16 ?        00:10:41 /usr/local/snort/bin/snort -c /usr/local/snort/etc/snort.conf -i eth0 -g root -D -A unsock

위에서 -A 옵션이 unsock 을 이용하기 위한 옵션입니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.