Справочный портал
MaxPatrol 10 27.3 · Справка
Русский
Справочник по настройке источниковСистемы обнаружения и предотвращения вторжений. Сбор событий
Suricata 3.1: на­строй­ка ис­точ­ни­ка
При ис­поль­зо­ва­нии в IT-ин­фра­струк­ту­ре ор­га­ни­за­ции меж­се­те­во­го экра­на или дру­гих средств для кон­тро­ля се­те­во­го тра­фи­ка тре­бу­ет­ся на­стро­ить в них пра­ви­ла, раз­ре­ша­ю­щие тра­фик меж­ду уз­лом ис­точ­ни­ка и уз­лом MP 10 Collector че­рез пор­ты UDP 514 или TCP 1468 (в за­ви­си­мо­сти от ис­поль­зу­е­мо­го про­то­ко­ла) в на­прав­ле­нии узла MP 10 Collector.

Ис­точ­ник ге­не­ри­ру­ет три типа со­об­ще­ний: со­бы­тия (alerts), по­то­ки (flows) и внут­рен­ние со­об­ще­ния. По­лу­че­ние со­бы­тий и по­то­ков воз­мож­но в фор­ма­те EVE (Extensible Event Format), ко­то­рый пред­став­ля­ет со­бой JSON, пе­ре­да­ва­е­мый че­рез syslog. Внут­рен­ние со­об­ще­ния пе­ре­да­ют­ся в тек­сто­вом фор­ма­те на­пря­мую че­рез syslog.

На­строй­ка вы­во­да внут­рен­них со­об­ще­ний в фор­ма­те EVE вы­пол­ня­ет­ся от­дель­но, но каж­дый из этих фор­ма­тов дол­жен вы­во­дить­ся че­рез сер­вер жур­на­ли­ро­ва­ния syslog на MP 10 Collector.

Snort 2.9: настройка MaxPatrol 10
Настройка вывода внутренних сообщений