Come posso modificare l'avviso di uscita da sfportscan?
Es: output alert_csv: /var/log/snort/portscan.log timestamp,src,dst,dstport,msg
OBS: posso impostare l'output per il file di avviso predefinito con questo metodo?
Come posso modificare l'avviso di uscita da sfportscan?
Es: output alert_csv: /var/log/snort/portscan.log timestamp,src,dst,dstport,msg
OBS: posso impostare l'output per il file di avviso predefinito con questo metodo?
I Sviluppatore uno script per filtrare il registro sfportscan e integrarlo con OSSEC
SNORT (sfportscan) - > portscan.log < filter.py > portscan-filter.log < OSSEC Regex >
#!/usr/bin/python
a = ""
f = open("/var/log/snort/portscan.log","r")
s = open("/var/log/snort/portscan-filter.log","w")
while 1:
where = f.tell()
line = f.readline()
s.seek(where)
if line[:4] == "Time": a = line
elif "(portscan)" in line:
a = a.replace("\n","")
line = line.replace("\n","")
ray = ','.join([a,line])
print (ray)
s.write(ray+"\n")
a = ""
else:
pass
f.close()
Output: Time: 01/02-12:34:56.006648 ,10.147.160.122 -> 177.124.192.123 (portscan) TCP Filtered Portscan
E ho reso questo Regex per l'integrazione con la decode regola OSSEC: (\S+) ,(\d+.\d+.\d+.\d+) -> (\d+.\d+.\d+.\d+) (\(\w+\) .+)