Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1882 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Logging for Snort

tilimil
Now I understand we will be able to do custom Snort rules in a near Up2Date of v7 based on another thread.

But, where do the snort logs go?  My goal is to be able to create custom rules for all of the instant messengers and log them via Snort.  Do these logs get written locally, Syslog or MySQL?

I just don't have this installed yet and wanted to make I would be able to achieve my end goal before getting started.

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    They're written via syslog to ips.log, in this format:
    2007:11:29-02:02:11 (none) barnyard[4993]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="http_inspect: DOUBLE DECODING ATTACK" group="0" srcip="10.0.0.10" dstip="1.2.3.4" proto="6" srcport="41942" dstport="80" sid="0" class="Unknown" priority="3"  generator="119" msgid="1"

    Barry
  • 0 in reply to BarryG
    Are all the logs written to the IPS log? I ask because I had an IPS alert that showed up (some sort of data logger/trojan) on one of the main web pages and now I cannot find it in the log.

    I'd like to do more research on it, but cannot remember the name that Astaro used. And in the log there is nothing of note.

    I think there needs to be some sort of "alert log" that shows the high level things that happen (that get reported to the various top level web pages) and then allows the admin to drill down. Otherwise, it is a guessing game on what stuff shows up in what log and on what day. It is a big time waste trying to go back in time and see what happened.
Reply
  • 0 in reply to BarryG
    Are all the logs written to the IPS log? I ask because I had an IPS alert that showed up (some sort of data logger/trojan) on one of the main web pages and now I cannot find it in the log.

    I'd like to do more research on it, but cannot remember the name that Astaro used. And in the log there is nothing of note.

    I think there needs to be some sort of "alert log" that shows the high level things that happen (that get reported to the various top level web pages) and then allows the admin to drill down. Otherwise, it is a guessing game on what stuff shows up in what log and on what day. It is a big time waste trying to go back in time and see what happened.
Children
No Data