forum.lissyara.su

Если проблема не решается сама, значит она неразрешима
https://forum.lissyara.su/

Snort+Mysql

https://forum.lissyara.su/viewtopic.php?f=3&t=39500

Страница 1 из 1

Snort+Mysql

Добавлено: 2013-06-06 15:03:00
ya_flomaster
Всем здравствуйте :smile:

Подскажите пожалуйста, ка заставить snort писать логи в бд, гугление особой пользы не придало, т.к. либо от статьи несло тухлятиной, либо она была на вражеском.

Код: Выделить всё

freebsd 8.3-release
snort-2.9.4.6
mysql-5.5.30
Snort ставил и настраивал, по этим статьям
http://www.xakep.ru/magazine/xa/127/126/1.asp
http://www.lissyara.su/articles/freebsd/security/snort/

Может все таки кто уже такое вытворял, не жадничайте, поделитесь опытом :smile:
ЗЫ: с фряхой знаком не так хорошо, как хотелось бы и вражеский у меня хромает(((

Re: Snort+Mysql

Добавлено: 2013-06-06 16:47:15
rayder
если статься и написана давно, то это не означает что она не актуальна.
раз уж ставили и настраивали, то говорите что не получилось?
и да, учите английский, вся вменяемаю документация именно на нем.

Re: Snort+Mysql

Добавлено: 2013-06-07 7:17:17
ya_flomaster
rayder писал(а):раз уж ставили и настраивали, то говорите что не получилось?
Ну собственно не получилось сделать так, что бы snort писал логи в mysql.
Единственное куда он пишет их, это на экран и в /var/log/snort
Где то на просторах инета находил, что необходим для этого barnyard2 (где именно уже не вспомню), установил и поправил конфиг, но результата нет.
Смотрел содержимое таблиц бд, там пусто.

содержимое /usr/local/etc/barnyard2.conf

Код: Выделить всё

config reference_file: /usr/local/etc/snort/reference.config
config classification_file: /usr/local/etc/snort/classification.config
config gen_file: /usr/local/etc/snort/gen-msg.map
config sid_file: /usr/local/etc/snort/sid-msg.map

config hostname: localhost
config interface: em0
output database: log, mysql, user=snort password=123 dbname=snort host=localhost
input unified2
output alert_fast: stdout
содержимое /usr/local/etc/snort/snort.conf
он слегка большой, так что просто скажу что он выглядит как по дефолту, с изменениями согласно этой статьи:
http://www.lissyara.su/articles/freebsd/security/snort/
единственное отличие

Код: Выделить всё

#output database: log, mysql, user=snort password=123 dbname=snort host=localhost
output alert_syslog: LOG_AUTH LOG_ALERT
какой еще конфиг надо выложить или еще чего нибуть?

Re: Snort+Mysql

Добавлено: 2013-06-07 18:46:14
ADRE
а попробуй syslog парсить и вставлять куда надою

Re: Snort+Mysql

Добавлено: 2013-06-10 11:18:35
ya_flomaster
ADRE писал(а):а попробуй syslog парсить и вставлять куда надою
а попроще можно, для тех кто не труЪ?

Re: Snort+Mysql

Добавлено: 2013-06-14 11:47:26
ya_flomaster
что, никто не знает?
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/