Snort 침입 탐지 모드
-Snort를 기본 IDS 모드로 실행하면 기본 출력은 log 하위 디렉터리의 alert라는 파일에 저장된다.
경고 모드
-패킷이 alert 규칙과 일치했을 경우 Snort는 다음 2가지 작업을 수행한다.
|
경고 보관소(alert facility)로 이벤트를 출력한다. |
|
설정된 로깅모드로 가능한 많은 데이터를 기록한다. |
|
alert facility 옵션 | |
|
옵션 |
설명 |
|
Full |
경고 메시지와 전체 패킷 헤더를 포함한다. (기본값) |
|
Fast |
타임스탬프, 경고 메시지, 출발지와 목적지 IP, Port만으로 구성된 간단한 형태의 경고를 만든다. |
|
Syslog |
syslog로 로그를 기록한다. 기본적으로 로그는 LOG_AUTHPRIV와 LOG_ALERT에 저장된다. |
|
Unixsock |
UNIX도메인 소켓을 만들어 그곳으로 경고를 보낸다. |
|
SMB |
WinPopup 메시지를 전송한다. |
로깅 모드
-로깅 모드는 경고를 생성하지 않고 패킷 정보를 기록하기만 한다.
-Snort 규칙에서 log,dynamic 키워드를 사용하거나 alert 키워드의 부가 기능으로 호출될 수 있다.
-기본적으로 /var/log/snort에 로그가 저장되지만 -l 옵션으로 변경 가능하다.
반응형
'툴 > Snort' 카테고리의 다른 글
| Snort 변수 (0) | 2010.11.30 |
|---|---|
| Snort 로그 (0) | 2010.11.30 |
| Snort를 스니퍼로 사용 (0) | 2010.11.30 |
| Snort 플러그인 (0) | 2010.11.30 |
| Snort 규칙 (1) | 2010.11.30 |