Snorby가 메인 페이지에 알림을 표시하지 않습니다.

Question

Snort/Barnyard2/Snorby 설정.

snorby가 이벤트를 보는 데 문제가 있습니다.

Snort와 barnyard2가 둘 다 부팅 할 때 실행 중입니다.

여기 내 설정과 관련된 문제입니다.

스 노트 :

output unified2: filename snort.u2, limit 128 

Barnyard2 :

config reference_file:  /usr/local/snort/etc/reference.config 
config classification_file: /usr/local/snort/etc/classification.config 
config gen_file:   /usr/local/snort/etc/gen-msg.map 
config sid_file:   /usr/local/snort/etc/sid-msg.map 
config hostname:localhost 
config interface: eth1 
input unified2 
output database: log, mysql, user=snort password=snorbypass dbname=snorby host=localhost 

Snorby :

snorby: &snorby 
    adapter: mysql 
    username: snort 
    password: "snorbypass" 
    host: localhost 

를 rc.local :

ifconfig를

,536,913,632 최대의 eth1 10

/usr/local/snort/bin/snort -D -u snort -g snort \ 
     -c /usr/local/snort/etc/snort.conf -i eth1 
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \ 
     -d /var/log/snort \ 
     -f snort.u2 \ 
     -w /var/log/snort/barnyard2.waldo \ 
     -D 

현재 상태 : 현재 시스템이 부팅, 내가 rc.local 파일에 발행 실행 흡입 및 barnyard2 두 프로세스를 볼 수있을 때

. 브라우저에서 localhost로 검색 할 때

, 나는 나 또한 센서 아래에 나열된 센서를 볼 수 있습니다

... 등, Snorby에 로그인 암호를 변경할 수 있습니다.

근로자를 볼 때 하나는 달리기입니다. 또한 웹 UI를 사용하여이 파일을 삭제하고 아무 문제없이 다시 만들었습니다.

데이터베이스에서 snorby를 볼 때 "서명에서 선택 *"하고 여기에 나열된 많은 서명을 볼 수 있습니다.

또한 가장 최근의 /var/log/snort/snort.u2.1398021580 크기가 지속적으로 업데이트되고 있음을 알 수 있습니다. 내 barnyard.waldo도이 디렉토리에 있으며 데이터와 함께 볼 수 있으며 더 이상 텍스트 파일이 아니라 바이너리임을 알 수 있습니다. 새 barnyard2.waldo 텍스트 파일을 다시 만들고 barnyard2를 다시 시작하여 파일을 삭제하면이 파일을 다시 만들 수 있습니다. 이렇게하면, 파일이 2056

의 크기에 바이너리 파일로 전환 될 파일의 ​​소유권은 콧김입니다 : 666

이다 흡입 및 디렉토리는/var/log/snort와의 파일 권한 가능한 문제 ?? ::

내가 제대로 작동하지 않는 것을 볼 수있는 유일한 이유는 barnyard2를 중지하고 -D없이 시작하여 시작을 볼 때입니다.

나는 반복 오류가 나타날 수 있습니다 내가 Google을 통해 보았을 때이 오류에 아주 작은,하지만 난 그 barnyard2가 흡입, U2 파일을 읽는 데 문제가 있다고 생각

--== Initialization Complete ==-- 

Using waldo file '/var/log/snort/barnyard2.waldo': 
    spool directory = /var/log/snort 
    spool filebase = snort.u2 
    time_stamp  = 1398023768 
    record_idx  = 0 
Opened spool file '/var/log/snort/snort.u2.1398023768' 
WARNING: No function defined to read header. 
WARNING: No function defined to read header. 
Closing spool file '/var/log/snort/snort.u2.1398023768'. Read 0 records 
Opened spool file '/var/log/snort/snort.u2.1398024174' 
WARNING: No function defined to read header. 
Waiting for new data 
WARNING: No function defined to read header. 
WARNING: No function defined to read header. 
WARNING: No function defined to read header. 
WARNING: No function defined to read header. 
WARNING: No function defined to read header. 
WARNING: No function defined to read header. 

. 당신은 그것이 좋아로드하는 것 같습니다 여기에 볼 수 있지만, 그것에 대해입니다. 그럼에도 불구하고 Snorby UI를 살펴볼 때 나열된 센서에는 0 개의 이벤트가 있습니다.

모든 아이디어는 크게 감사하겠습니다.

Answer 1

PulledPork를 실행하여 snort 규칙을 다운로드 한 후 현재 실행중인 snort 버전의 새 sid-msg.map 파일을 받았습니다. 반복 오류가 해결되었습니다.