Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (269.11 KB, 3 trang )
Splunk for Snort
Link hướng dẫn:
/>Tại quyền root của máy Splunk:
Tải app Splunk for Snort tại địa chỉ: />
Copy file splunk-for-snort_05.tgz vào máy Splunk thông qua phần mềm FileZilla
Giải nén file trên vào /opt/splunk/etc/apps
Khởi động Splunk
/opt/splunk/bin/splunk start --accept-license
Vào giao diện web của Splunk tại địa chỉ: http://IP:8000
Chọn Setting Add data monitor TCP/UDP và chọn port 514
Configure Snort to send logs
Tại quyền root của máy Snort:
sudo apt-get install syslog-ng
Sửa file:
sudo vi /etc/syslog-ng/syslog-ng.conf
thêm vào cuối file các dòng sau:
source s_tail { file("/var/log/snort/snort.u2*"
follow_freq(1) flags(no-parse) ) ; };
destination stail2 {
};
tcp("10.0.0.22") ;
log {