Hướng dẫn chi tiết cấu hình Splunk for Snort
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (269.11 KB, 3 trang )
Splunk for Snort
Link hướng dẫn:
/>Tại quyền root của máy Splunk:
Tải app Splunk for Snort tại địa chỉ: />
Copy file splunk-for-snort_05.tgz vào máy Splunk thông qua phần mềm FileZilla
Giải nén file trên vào /opt/splunk/etc/apps
Khởi động Splunk
/opt/splunk/bin/splunk start --accept-license
Vào giao diện web của Splunk tại địa chỉ: http://IP:8000
Chọn Setting Add data monitor TCP/UDP và chọn port 514
Configure Snort to send logs
Tại quyền root của máy Snort:
sudo apt-get install syslog-ng
Sửa file:
sudo vi /etc/syslog-ng/syslog-ng.conf
thêm vào cuối file các dòng sau:
source s_tail { file("/var/log/snort/snort.u2*"
follow_freq(1) flags(no-parse) ) ; };
destination stail2 {
};
tcp("10.0.0.22") ;
log {
source(s_tail);
destination(stail2);
flags(flow-control);
};
Chữ màu đỏ là thư mục log của snort, giao thức sử dụng và địa chỉ máy Splunk
