Нужна помощь, чтобы выяснить, почему Barnyard2 не берет журналы snort и не помещает их в базу данных mysql.

Итак, используя 32-разрядную версию Ubuntu и запущенный snort, я вижу журналы u2, но Barnyard2, похоже, не читает эти файлы, поскольку ничто не является базой данных sql.

Итак, как я могу проверить это? это команда, которую я использую для запуска barnyard2. "/barnyard2-install/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f .u2. -w /var/log/snort/barnyard2. Уолдо"

которого я не вижу там файла waldo, так что да, я действительно новичок, но мне нужно как-то изучить этот материал.

Для snort я просто набираю service snort start. Я работаю как root, и когда я проверяю базу данных mysql, она пуста. Могу ли я записать показания скотного двора в файл?

Есть ли место, где могут быть ответы, которые я ищу? Есть ли способ протестировать этот материал?

Также u2spewfoo, похоже, не работает с моим фырканьем.


mysql snort
person Dale Moore    schedule 04.09.2013    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Если вы правильно настроили snort.conf (для входа в систему как unified2) и barnyard.conf (для подключения к mysql), попробуйте следующую команду для правильного запуска snort и barnyard, и они будут хорошо работать вместе:

запускать фырканье:

snort -vde  --daq-dir=/usr/local/lib/daq/ --daq ipq -Q -c /etc/snort/snort.conf -l /var/log/snort -m 022

управлять скотным двором:

/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo

note1: измените «/usr/local/bin» и другой путь на свой скотный двор и путь установки snort.

примечание 2: если вы не устанавливали модуль IPQ (включите его во время настройки DAQ), удалите «--daq ipd -Q» и в конце вы можете использовать множество руководств и руководств по запуску snort и barnyard, некоторые из них можно найти в snort.org

person Mohammad Amin Keshtkar    schedule 03.10.2013

arrow_upward
0
arrow_downward

Прежде всего snort должен уметь генерировать журнал .u2, так как barnyard читает только журналы u2. Файл конфигурации скотного двора должен быть настроен с модулем вывода для входа в базу данных с правильным именем базы данных, паролем и именем пользователя. Служба MySQL должна работать (проверьте это). Waldo — это файл, который генерируется при запуске команды barnyard. Как только вы остановили скотный двор с помощью CTRL+C и снова инициировали команду, он не регистрирует ранее зарегистрированные данные, а регистрирует новые данные. Файл ".waldo" - это что-то вроде "ПРОДОЛЖЕНИЕ ПРОДОЛЖАЕТСЯ".

person UlFaTyAnG    schedule 18.04.2014