日志信息通常存放在文件中。默認(rèn)情況下，Snort將這些信息存放在/var/log/snort目錄下，但是也可以在啟動(dòng)Snort時(shí)用命令行開(kāi)關(guān)來(lái)改變這個(gè)目錄。日志信息可以存儲(chǔ)為文本格式或者二進(jìn)制格式，二進(jìn)制格式的文件可以供Snort或者Tcpdump隨后訪問(wèn)。Barnyard工具可以分析Snort產(chǎn)生的二進(jìn)制日志文件。將日志存放為二進(jìn)制文件可以有更高的效率，因?yàn)檫@種格式開(kāi)銷相對(duì)較低。將Snort應(yīng)用在高速網(wǎng)絡(luò)環(huán)境中，將日志存放為二進(jìn)制文件是非常必要的。



引言：

snort的輸出插件最常用的方法一是將警報(bào)（例如告警和其他日志消息）記錄到數(shù)據(jù)庫(kù)中。MySQL用作存儲(chǔ)所有這些數(shù)據(jù)的數(shù)據(jù)庫(kù)引擎。利用ACID及Apache (http://www.apache.com)Web服務(wù)器，我們可以分析這些數(shù)據(jù)。Snort、Apache、MySQL及ACID的共同協(xié)作，使我們可以將入侵檢測(cè)數(shù)據(jù)記錄到數(shù)據(jù)庫(kù)，然后用web界面察看和分析這些數(shù)據(jù)。



另外一種就是用外部代理將警報(bào)輸出到Barnyard,這需要snort采用統(tǒng)一格式進(jìn)行輸出。

第一種會(huì)產(chǎn)生一個(gè)主要的輸出瓶勁。。。。

這樣snort就可以盡可能地處理數(shù)據(jù)流并產(chǎn)生警報(bào)



Barnyard安裝：



#./configure --enable-mysql --with-mysql-includes=/usr/local/mysql/include/mysql

--with-mysql-libraries=/usr/local/mysql/lib/mysql

#make

#make install



cp etc/barnyard.conf /etc/.



目的：

snort的輸出不直接輸出到數(shù)據(jù)庫(kù)，而是輸出到Unfied的統(tǒng)一格式，這樣可以加快snort的處理數(shù)據(jù)流。



修改/etc/barnyard.conf配置文件：

config interface: eth0



支持acid的數(shù)據(jù)庫(kù)輸出:

output alert_acid_db: mysql, database snort, server localhost, user root, password admin,detail full



output log_acid_db: mysql, database snort_archieve, server localhost, user root, password admin,detail full



修改：/etc/snort/snort.conf

output alert_unified: filename /var/log/snort/snort.alert, limit 128

output log_unified: filename /var/log/snort/snort.log, limit 128



這樣，可以加快snort的速度





執(zhí)行模式有單步，連續(xù)，檢驗(yàn)指示的連續(xù)方式



如：下面這種就是連續(xù)方式把統(tǒng)一日志文件輸出到插件

#barnyard -c /etc/barnyard.conf -d /var/log/snort

-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map

-p /etc/snort/classification.config -f snort.alert



參數(shù)含義：

-c /etc/barnyard.conf barnyard的配置文件位置



-d /var/log/snort snort的ubfied統(tǒng)一格式文件的位置



-s /etc/snort/sid-msg.map 告訴sid-msg.map文件的位置,文件sid-msg.map 包含一個(gè)從msg標(biāo)簽到snort規(guī)則ID的映射。

-g /etc/snort/gen-msg.map 告訴gen-msg.map文件的位置，注意gen-msg.map在snort的安裝程序的etc目錄下



-p /etc/snort/classification.config 告訴classification.config文件的位置,該文件定義規(guī)則類

-f snort.alert 告訴barnyard以連續(xù)方式運(yùn)行時(shí)需要的Unfied統(tǒng)一文件的基本名字。snort在產(chǎn)生的文件后面會(huì)自動(dòng)加一個(gè)unix時(shí)間的時(shí)間戳，基本名字就是去掉時(shí)間戳的文件名



這樣就可以連續(xù)實(shí)現(xiàn)把unfied的文件輸出到插件，本例也就是輸出到acid數(shù)據(jù)庫(kù)中



如果是單步模式

#barnyard -o -c /etc/barnyard.conf -d /var/log/snort

-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map

-p /etc/snort/classification.config -f snort.alert.時(shí)間戳



加參數(shù)-d是后臺(tái)運(yùn)行的意思，這樣寫(xiě)到acid的數(shù)據(jù)庫(kù)后，執(zhí)行完就回到shell界面下了。

最新評(píng)論