Snort+Mysql

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
ya_flomaster
проходил мимо
Сообщения: 5
Зарегистрирован: 2013-05-28 15:22:36

Snort+Mysql

Непрочитанное сообщение ya_flomaster » 2013-06-06 15:03:00

Всем здравствуйте :smile:

Подскажите пожалуйста, ка заставить snort писать логи в бд, гугление особой пользы не придало, т.к. либо от статьи несло тухлятиной, либо она была на вражеском.

Код: Выделить всё

freebsd 8.3-release
snort-2.9.4.6
mysql-5.5.30
Snort ставил и настраивал, по этим статьям
http://www.xakep.ru/magazine/xa/127/126/1.asp
http://www.lissyara.su/articles/freebsd/security/snort/

Может все таки кто уже такое вытворял, не жадничайте, поделитесь опытом :smile:
ЗЫ: с фряхой знаком не так хорошо, как хотелось бы и вражеский у меня хромает(((

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rayder
лейтенант
Сообщения: 661
Зарегистрирован: 2008-12-18 16:29:43
Откуда: Ukraine/Kiev
Контактная информация:

Re: Snort+Mysql

Непрочитанное сообщение rayder » 2013-06-06 16:47:15

если статься и написана давно, то это не означает что она не актуальна.
раз уж ставили и настраивали, то говорите что не получилось?
и да, учите английский, вся вменяемаю документация именно на нем.
Человеку свойственно ошибаться, но для нечеловеческих ляпов нужен компьютер.

ya_flomaster
проходил мимо
Сообщения: 5
Зарегистрирован: 2013-05-28 15:22:36

Re: Snort+Mysql

Непрочитанное сообщение ya_flomaster » 2013-06-07 7:17:17

rayder писал(а):раз уж ставили и настраивали, то говорите что не получилось?
Ну собственно не получилось сделать так, что бы snort писал логи в mysql.
Единственное куда он пишет их, это на экран и в /var/log/snort
Где то на просторах инета находил, что необходим для этого barnyard2 (где именно уже не вспомню), установил и поправил конфиг, но результата нет.
Смотрел содержимое таблиц бд, там пусто.

содержимое /usr/local/etc/barnyard2.conf

Код: Выделить всё

config reference_file: /usr/local/etc/snort/reference.config
config classification_file: /usr/local/etc/snort/classification.config
config gen_file: /usr/local/etc/snort/gen-msg.map
config sid_file: /usr/local/etc/snort/sid-msg.map

config hostname: localhost
config interface: em0
output database: log, mysql, user=snort password=123 dbname=snort host=localhost
input unified2
output alert_fast: stdout
содержимое /usr/local/etc/snort/snort.conf
он слегка большой, так что просто скажу что он выглядит как по дефолту, с изменениями согласно этой статьи:
http://www.lissyara.su/articles/freebsd/security/snort/
единственное отличие

Код: Выделить всё

#output database: log, mysql, user=snort password=123 dbname=snort host=localhost
output alert_syslog: LOG_AUTH LOG_ALERT
какой еще конфиг надо выложить или еще чего нибуть?

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Snort+Mysql

Непрочитанное сообщение ADRE » 2013-06-07 18:46:14

а попробуй syslog парсить и вставлять куда надою
//del

ya_flomaster
проходил мимо
Сообщения: 5
Зарегистрирован: 2013-05-28 15:22:36

Re: Snort+Mysql

Непрочитанное сообщение ya_flomaster » 2013-06-10 11:18:35

ADRE писал(а):а попробуй syslog парсить и вставлять куда надою
а попроще можно, для тех кто не труЪ?

ya_flomaster
проходил мимо
Сообщения: 5
Зарегистрирован: 2013-05-28 15:22:36

Re: Snort+Mysql

Непрочитанное сообщение ya_flomaster » 2013-06-14 11:47:26

что, никто не знает?