Barnyard2가 snort 로그를 가져 와서 mysql 데이터베이스에 저장하는 이유를 알아내는 데 도움이 필요합니다.

Question

Ok 우분투 32 비트를 사용하고 snort를 실행하면 u2 로그가 표시되지만 Barnyard2는이 파일을 읽지 않는 것으로 보입니다. SQL 데이터베이스.

어떻게 테스트 할 수 있습니까? 이것은 barnyard2를 실행하는 데 사용하는 명령입니다. "/ barnyard2 설치/빈/barnyard2 -c /etc/snort/barnyard2.conf -d는/var/log/-f .u2 콧김. -w /var/log/snort/barnyard2.waldo"

나는 거기에 waldo 파일을 보았습니다. 그렇습니다. 임씨는 정말 초보자입니다.하지만 어떻게 든이 물건을 배워야합니다.

snort의 경우 서비스 입력 만 시작하면됩니다. 내가 루트로 실행하고 mysql 데이터베이스의 empyty를 확인할 때. 파일에 판독기 수치를 쓸 수 있습니까?

내가 찾는 답을 찾을 수있는 곳이 있습니까? 이 항목을 테스트 할 수있는 방법이 있습니까?

또한 u2spewfoo는 내 snort와 함께 보이지 않습니다.

Answer 1

당신이 당신의 snort.conf 파일 (unified2로 로그인하기) 및 barnyard.conf를 구성 할 경우 제대로 흡입과 앞마당을 실행하려면 다음 명령을 시도, 제대로 (MySQL의에 연결) 그들은 함께 잘 작동합니다

snort를 실행합니다 :

snort -vde --daq-dir=/usr/local/lib/daq/ --daq ipq -Q -c /etc/snort/snort.conf -l /var/log/snort -m 022 

가 앞마당을 실행 :

/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo 

notice1 : 당신의 앞마당과 흡입 설치 경로로 "/ usr/지방/빈"및 기타 경로를 변경합니다.

notice2 : IPQ 모듈을 설치하지 않은 경우 (DAQ 구성 중에 활성화) "--daq ipd -Q" 을 삭제하면 많은 가이드 라인과 매뉴얼을 사용하여 snort 및 barnyard를 실행할 수 있습니다. snort.org에서 찾을 수 있습니다.

Answer 2

주먹은 u2 로그 만 읽으면 모든 snort가 .u2 로그를 생성 할 수 있어야합니다. 버니드 구성 파일은 올바른 데이터베이스 이름, 암호 및 사용자 이름으로 데이터베이스에 로그인하기 위해 출력 모듈을 사용하여 설정해야합니다. MySQL 서비스가 실행 중이어야합니다 (확인하십시오). Waldo는 barnyard 명령을 시작하여 생성되는 파일입니다. Ctrl + C를 사용하여 앞 마당을 중지하고 명령을 다시 시작하면 이전에 기록 된 데이터가 기록되지 않고 새로운 데이터가 기록됩니다. ".waldo"파일은 "계속할 것"과 같은 것입니다.