於處理LOG,目前最新版是Barnyard2-1-12,但環境是Snort 2.9.2所以不需要用到太新版的
環境是以這篇文為例子Ubutu12.04+Snort 2.9.2+mysql (一)
安裝
apt-get install gcc g++ make libpcap-dev libmysqlclient-dev mysql-server
vi /etc/snort/snort.conf //編輯snort.conf
#output unified2: filename merged.log, limit 128, mpls_event_types, nostamp, vlan_event_types取消 " # " " nostamp "
下載barnyard2-1.9.tar.gz安裝
/usr/src //切換目錄
/usr/src //切換目錄
wget http://www.securixlive.com/download/barnyard2/barnyard2-1.9.tar.gz //下載
//啟動barnyard到背景執行
barnyard2 -c /etc/barnyard2.conf -f merged.log -d /var/log/snort -D
測試有沒有資料寫入
vi /etc/snort/rules/local.rules //編輯規則檔
alert tcp any any -> any any (msg:" tcp traffic" ; classtype: unknown; sid:1000001;)
//寫入一則規則 , 測試用
//只要是TCP的協定來自任何來源IP.Port到任何目的IP.Port ,都會被紀錄下來
可安裝acidbase或SnortReport來觀察
Barnyard專案網頁
https://github.com/firnsy/barnyard2
tar -zxvf barnyard2-1.9.tar.gz //解壓縮
cd barnyard2-1.9
./configure --with-mysql-libraries=/usr/lib/i386-linux-gnu/ //編譯安裝
./configure --with-mysql-libraries=/usr/lib/i386-linux-gnu/ //編譯安裝
make
make install
vi /etc/barnyard2.conf //編輯barnyard2.conf
如果沒加-libraries=/usr/lib/i386-linux-gnu/
會出現錯誤訊息
**********************************************
ERROR: unable to find mysqlclient library (libmysqlclient.*)
checked in the following places
/usr
/usr/lib
/usr/mysql
/usr/mysql/lib
/usr/lib/mysql
/usr/local
/usr/local/lib
/usr/local/mysql
/usr/local/mysql/lib
/usr/local/lib/mysql
**********************************************
ERROR: unable to find mysqlclient library (libmysqlclient.*)
checked in the following places
/usr
/usr/lib
/usr/mysql
/usr/mysql/lib
/usr/lib/mysql
/usr/local
/usr/local/lib
/usr/local/mysql
/usr/local/mysql/lib
/usr/local/lib/mysql
**********************************************
cp ./etc/barnyard2.conf /etc/ //複製設定檔到/etc/底下
vi /etc/barnyard2.conf //編輯barnyard2.conf
#changes:config interface: eth0
#config waldo_file: /var/log/barnyard2/waldo
#output database: log, mysql, user=root password=1234 dbname=snort host=localhost
#符號取消,紅字部分需修改
touch /var/log/barnyard2/waldo //建立檔案
mysql -u root -p //以root登入mysql
mysql> create database snort; //建立snort資料庫
#config waldo_file: /var/log/barnyard2/waldo
#output database: log, mysql, user=root password=1234 dbname=snort host=localhost
#符號取消,紅字部分需修改
touch /var/log/barnyard2/waldo //建立檔案
mysql -u root -p //以root登入mysql
mysql> create database snort; //建立snort資料庫
mysql>exit //登出資料庫
cd barnyard2-1.9/schemas/ //切換到資料表目錄
cat create_mysql | mysql -u root -h localhost -p snort //匯入資料表
cd barnyard2-1.9/schemas/ //切換到資料表目錄
cat create_mysql | mysql -u root -h localhost -p snort //匯入資料表
//啟動barnyard到背景執行
barnyard2 -c /etc/barnyard2.conf -f merged.log -d /var/log/snort -D
測試有沒有資料寫入
vi /etc/snort/rules/local.rules //編輯規則檔
alert tcp any any -> any any (msg:" tcp traffic" ; classtype: unknown; sid:1000001;)
//寫入一則規則 , 測試用
//只要是TCP的協定來自任何來源IP.Port到任何目的IP.Port ,都會被紀錄下來
可安裝acidbase或SnortReport來觀察
Snort-web介面 BASE
Barnyard專案網頁
https://github.com/firnsy/barnyard2
沒有留言:
張貼留言