1
German - Deutsch / SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
« on: November 04, 2018, 09:02:04 am »
Hallo zusammen,
ich habe seit Ende August 2018, also ziemlich seit Inbetriebnahme meiner OPNsense-Box, Suricata aktiviert.
Dazu habe ich die Option "Enable syslog alerts" aktiviert.
Mein Verständnis ist, dass dadurch alle Suricata Alerts in '/var/log/suricata.log' erscheinen.
Bereits vor einiger Zeit und heute bin ich aber mal in der Web-GUI die Alerts unter 'Services: Intrusion Detection: Administration: Alerts' durchgegangen und stellte fest, dass dort Meldungen erscheinen, die in '/var/log/suricata.log' nicht erscheinen.
Nachfolgend zwei Beispiele von IPS-Signatur Alerts, die sich nicht im '/var/log/suricata.log' File befinden:
Timestamp 2018-11-03T20:06:29.669191+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.xx.xxx
Source port 443
Destination port 44019
Interface FRITZBOX
Configured action Enabled / Drop
Timestamp 2018-11-03T12:14:24.407028+0100
Alert ET TROJAN Zberp receiving config via image file - SET
Alert sid 2021381
Protocol TCP
Source IP 192.168.xx.xxx
Destination IP 217.175.192.2
Source port 5667
Destination port 80
Interface LAN
Configured action Enabled / Drop
Any Ideas?
ich habe seit Ende August 2018, also ziemlich seit Inbetriebnahme meiner OPNsense-Box, Suricata aktiviert.
Dazu habe ich die Option "Enable syslog alerts" aktiviert.
Mein Verständnis ist, dass dadurch alle Suricata Alerts in '/var/log/suricata.log' erscheinen.
Bereits vor einiger Zeit und heute bin ich aber mal in der Web-GUI die Alerts unter 'Services: Intrusion Detection: Administration: Alerts' durchgegangen und stellte fest, dass dort Meldungen erscheinen, die in '/var/log/suricata.log' nicht erscheinen.
Nachfolgend zwei Beispiele von IPS-Signatur Alerts, die sich nicht im '/var/log/suricata.log' File befinden:
Timestamp 2018-11-03T20:06:29.669191+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.xx.xxx
Source port 443
Destination port 44019
Interface FRITZBOX
Configured action Enabled / Drop
Timestamp 2018-11-03T12:14:24.407028+0100
Alert ET TROJAN Zberp receiving config via image file - SET
Alert sid 2021381
Protocol TCP
Source IP 192.168.xx.xxx
Destination IP 217.175.192.2
Source port 5667
Destination port 80
Interface LAN
Configured action Enabled / Drop
Any Ideas?