snort

[Novikmec Jozef]

> 
> zdravim ..
> 
> nevie nahodou niekto, ako sa v snorte daju nastavit globalnejsie akcie
> na pravidla napr. podla priorit bez nutnosti upravovat 
> pravidla ? napr:
> chcem aby vsetky pravidla, ktore maju prioritu 1 boli logovane full a
> tie nizssie napr iba ce syslog. alebo vykonat react podla tejto
> priority. resetnut spojenie, ktore vyvola alert s prislusnou 
> prioritou .
> 

Presne nieco take som v snortovi do verzie 1.8.2 nenasiel, tak som sa vydal
na objavnu cestu a nieco podobne dorobil. Pouzil som na to program tea +
zopar vlastnych skriptov.
Riesil som to asi takto:
1. Urobil som reviziu pravidiel a urobil nieco ako vlastnu kategorizaciu
dolezitosti.
2. Toto sluzilo ako konfigurak, ktory sa jednym skriptom preparsoval a
vytvoril konfigurak pre program tea, ktory nasledne striehol nad logami na
vyskyt konkretnej udalosti.
3. Ak sa udalost stala, vykonal akciu.

Bohuzial tie skripty nemam k dispozicii (zostali u predchadzajuceho
zamestnavatela:-)).

> 
> mate nejake hinty ? resp. tip na citanie ohladne tejto problematiky ?
> 
> ------------------------------------------
> Brandis Jaroslav
> SOFTEC s.r.o. 
> Kutuzovova 23
> 831 03 Bratislava
> 
> Tel: +421(2)49202547
> Fax: +421(2)49202531
>