snort | Alerts- / Blocked- Listen automatisch speichern und zurücksetzen?



  • Hi,

    vielleicht habe ich es nur übersehen... Gibt es eine (möglichst) einfache Option die snort-Listen unter Alerts und Blocked runterzuladen bzw. dauerhaft zu speichern und daraufhin wieder auf 0 null zu setzen?

    Bzw. Wo ich es schreibe fällt mir folgendes ein.
    Werden die Listen auf der Maschine überhaupt von alleine gelöscht? Bzw so lange fortgeführt bis ein gewisser Wert (Dauer / Größe) erreicht ist und dann quasi ab dem Punkt beginnend mit dem ältesten Eintrag durch neue ersetzt?

    Falls ich mein Anliegen nicht deutlich genug ausgedrückt habe:

    Was ich erreichen will ist, dass ich mich nicht 10-100x pro Tag über das Webinterface einloggen und die Listen manuell per "Download" und "Clear" sichern und zurücksetzen muss.

    Bei einer gelockerten snort Policy auf WAN komme ich mit 1x pro Tag sehr gut hin, bei einem vorerst (noch) nicht scharf geschaltetem (nur loggenden) IDS auf LAN und vollständig aktivierten OpenAppID rules zum Überblick verschaffen jedoch ist die Liste je nach Gebrauch nach 5-30 Minuten schon vollgeschrieben... (WebGUI Anzeige auf 500 Einträge gesetzt)

    --

    Oder kann man die WebGUI Listen bei enormem Aufkommen getrost bei Seite lassen und sich via SSH seltener, dafür größere Listen laden?

    -> sind die Einstellungen unter "snort" - "Log Mgmt" - "Log size and retention Limits" die auf der Maschine direkt gespeicherten Listen?

    --> sind diese dann auch nach Interface getrennt / trennbar? (ich brauche ja eigentlich nur die vom LAN welches aktuell nur logged)

    ---> welches der fünf Log Names dort ist oder enthält die Blocked List? Oder wird die nicht getrennt und quasi aus den "snort alerts and event details" extrahiert und über das WebGUI bereitgestellt?

    Mit Dank für Anregungen und Tipps
    BSA66