記錄一下步驟
首先改一下snort.conf 增加寫到syslog的選項
output alert_syslog: LOG_LOCAL5 LOG_ALERT
再來改一下rsyslog.conf
$template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n"
local5.alert @graylog.server:514;GRAYLOGRFC5424
再來在gralog上加入extractor 加在 收snort log的那個input
system -> input -> manage extractors
import extractors
在以下的空格貼入 https://github.com/jhaar/mygraylog-patches-extractor-snort/blob/master/extractor-snort 裡的程式碼
之後進來的資料就可以被解析了
https://www.graylog.org/blog/64-visualize-and-correlate-ids-alerts-with-open-source-tools
沒有留言:
張貼留言