Caros,
Para quem utiliza o IDS (Snort) ativo no Endian FW, existe uma maneira que ajuda a interpretar os logs do mesmo.
O site "snort.org" possui uma ferramenta de busca que detalha os alertas gerados.
Como usar:
Ao visualizar os logs do IDS, o administrador do Endian FW, se depara com a seguinte situação:
2011-11-18 08:50:48
snort[17408]: [1:2100540:12] GPL CHAT MSN message [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 65.55.71.29:1863 -> 172.18.37.2:1263Para mais detalhes, basta ir na url:
E digitar na caixa de busca o SID que é a sequencia de números encontrada no início da linha: 'snort[17408]' no caso, 17408. O resultado vai ser:
http://www.snort.org/search/sid/17408?r=1
[]s
Jr. Menezes
Redes e Segurança de Sistemas