好的,所以使用 ubuntu 32 位并运行 snort,我可以看到 u2 日志,但 Barnyard2 似乎没有读取这些文件,因为没有 sql 数据库。
那么我该如何测试呢?这是我用来运行 barnyard2 的命令。“/barnyard2-install/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f .u2.- w /var/log/snort/barnyard2.waldo”
我在那里没有看到 waldo 文件,所以是的,我真的是个新手,但我需要以某种方式学习这些东西。
对于 snort,我只需键入 service snort start。我以 root 身份运行,当我检查 mysql 数据库时,它是空的。我可以将谷仓读数写入文件吗?
有没有地方可以找到我想要的答案?有没有办法测试这些东西?
u2spewfoo 似乎也与我的鼻息无关。
如果你正确配置了你的 snort.conf(以统一 2 登录)和 barnyard.conf(以连接到 mysql),请尝试以下命令以正确运行 snort 和 barnyard,它们将很好地协同工作:
运行 snort:
snort -vde --daq-dir=/usr/local/lib/daq/ --daq ipq -Q -c /etc/snort/snort.conf -l /var/log/snort -m 022
运行谷仓:
/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo
注意1:将“/usr/local/bin”和其他路径更改为您的barnyard 和snort 安装路径。
注意2:如果您没有安装IPQ模块(在配置DAQ时启用它)删除“--daq ipd -Q”,最后,您可以使用许多指南和手册来运行snort和barnyard,其中一些可以在snort.org
所有 snort 应该能够生成 .u2 日志,因为 barnyard 只读取 u2 日志。barnyard 配置文件应使用输出模块设置,以使用正确的数据库名称、密码和用户名登录数据库。MySQL 服务应该正在运行。(检查一下)。Waldo 是一个通过启动 barnyard 命令生成的文件。使用 CTRL+C 停止谷仓并再次启动命令后,它不会记录以前记录的数据,而是记录新数据。“.waldo”文件类似于“待续”。