mysql -u root -p //以root登入mysql
use snort; //進入snort資料庫裡
grant insert, select, update on snort.* to snortsensor01@192.168.10.11 identified by "1234";
//紅字部分請依自已的需求修改 //建立使用者並賦予權限
//snort是資料庫名稱
//snortsensor01是sensor端登入的帳號名稱
//192.168.10.11是sensor端的IP地址
//1234是sensor端登入的資料庫密碼
//看你有幾台sensor依序建立帳號
Mysql要打開3306 port 來連結
vi /etc/mysql/my.cnf //編輯Mysql設定檔
# skip-external-locking
# bind-address = 127.0.0.1 //把這二行前面的#符號加上 //使用port連線
看了一堆資料, 終於搞清楚了
重新啟動Mysqld
netstat -tulnp | grep mysqld //觀看 3306 port是否已開啟
有防火牆記得要開 port
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
有防火牆記得要開 port
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
Log收集端完成
sensor端設定在sensor端只需安裝snort-mysql
不要安裝mysql and apache2 and php5
要使用oinkmster更新特徵庫
請觀看這篇
Ubutu12.04+Snort 2.9.2+mysql (一)
vi /etc/snort/database.conf //編輯database.conf設定檔
output database: log, mysql, user=snortsensor01 password=1234 dbname=snort host=192.168.10.17 port=3306 sensor_name=snortsensor01
//在database.conf設定檔裡面,新增這一行指令
//紅字部分請依自已的需求修改
//snortsensor01是要登入主機的帳號
//1234是要登入主機的密碼
//snort是主機的資料庫名稱
//192.168.10.17是主機的IP地址
//3306是主機mysql所開放的連結port
//snortsensor01是sensor的名稱
sudo snort -T -c /etc/snort/snort.conf
//測試snort運作是否正常
//連結成功
//會出現資料庫連結成功訊息
沒有留言:
張貼留言