Ciao a tutti,
Nei post precedenti, avevo mostrato come impostare IDS suricata nel firewall PFSense.
L’impostazione riportava il sistema IDS come non invasivo, ovvero ci mostrava in tempo reale le informazioni che ci si aspetta dal sistema senza bloccare nulla.
Queste informazioni sono dei semplici log che a lungo andare possono andare ad occupare spazio disco; in queste poche riche vorrei indicarvi il modo di ripulire questi log quando necessario.
Ricordatevi prima di cancellarli di eseguire una copia dei log non si sa mai se qualcuno dovesse richiederli, oppure di crearvi uno script che lo faccia automaticamente, ma vediamo come riumoverli.
Accedere al firewall tramite shell con putty, selezionare dall’elenco il numero (8) per accedere alla shell root del firewall. I log si trovano nella cartella var.
Accedere alla cartella con cd /var e utilizzare il comando du -shc /var/* per visualizzare al suo interno quali sono le cartelle con le dimensioni maggiori, si noterà che corrisponde alla cartella log; accedere alla cartella log cd /log e ripetere il comando du -shc /var/log/*.
Questo mostrerà che il contenutto maggiore e situato nella directory suricata, dare lo stesso comando nella cartella suricata du -shc /var/log/suricata/* verranno mostrate due folder tipo suricata_bce0… e suricata _bce1…, accedere ad uno delle due cartelle riptere nuovamente il comando du -shc /var/log/suricata/suricata_bce0.257015/* (per esempio).
Questo mostrerà finalmente il file di grosse dimensioni sulla quale lavorare. ATTENZIONE, non eliminare il file ma svuotarlo con il comando cat /dev/null > alerts.log.
Riptere la stessa cosa per la cartella suricata_bce1….. e il disco verrà svuotato dai log. Anche qui è possibile eseguire uno script per l’esecuzione automatica.
un saluto
Adam
