Hola a todos, hace poco instalé el snort, ahí todo bien. Vi que se puede hacer con el logsufer que me envie emilios de las alertas, pero no consigo entenderlo. He encontrado ficheros de configuración, pero no entiendo una cosa. ¿ Donde se le dice al logsurfer que fichero log debe escanear? ¿Alguien que lo tenga me puede dar los pasos a hacer para que funcione? ¿Como activo el logsurfer para que esté constantemente escaneando el fichero alert? Tengo suse 7.2 Este es el fichero de configuración del logsurfer. logsurf-mail es un fichero que simplemente me envia una emilio a la dirección indicada. Con el cuerpo que le pase como parámetro File: logsurfer.conf Col 0 414 bytes 100% # # /etc/logsurfer.conf # This is an example # # # Fundamental base rule # #'.*' - - - 0 exec "/bin/echo $0" # # Example to scan for failed su to root # #'su: FAILED.*\(to root\)' - - - 0 exec "/bin/echo $0" #'(.*snort:.*)'---0 report "/usr/lib/sendmail -F root@linux.espsnizek #\"security alert: $1\"" "$1" '(.*snort:.*)' - - - 0 pipe "/root/logsurf-mail root@linux.es de seguridad snort'" Saludos, Pedro
participants (1)
-
Pedro A. Gil