0

构建 Snort / Barnyard2 / Snorby 设置。

无法让 snorby 看到事件。

Snort 和 barnyard2 都在启动时运行。

这是我与问题相关的配置。

打鼾:

output unified2: filename snort.u2, limit 128

谷仓2:

config reference_file:      /usr/local/snort/etc/reference.config
config classification_file: /usr/local/snort/etc/classification.config
config gen_file:            /usr/local/snort/etc/gen-msg.map
config sid_file:            /usr/local/snort/etc/sid-msg.map
config hostname:localhost 
config interface:  eth1
input unified2
output database: log, mysql, user=snort password=snorbypass dbname=snorby host=localhost

斯诺比:

snorby: &snorby
  adapter: mysql
  username: snort
  password: "snorbypass"
  host: localhost

rc.local:

ifconfig eth1 向上

/usr/local/snort/bin/snort -D -u snort -g snort \
        -c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
        -d /var/log/snort \
        -f snort.u2 \
        -w /var/log/snort/barnyard2.waldo \
        -D

当前状态:

现在,当系统启动时,我可以看到 snort 和 barnyard2 进程在 rc.local 中运行。

在浏览器中浏览到 localhost 时,我可以登录 Snorby 并更改密码等...

我还可以看到传感器下列出的传感器。

看着工人们,有一个在跑。我还从使用 web ui 中删除了它并重新创建它而没有任何问题。

在数据库中查找 snorby 时,我可以“从签名中选择 *”并查看此处列出的很多签名。

此外,我可以看到最新的 /var/log/snort/snort.u2.1398021580 的大小在不断更新。我的 barnyard.waldo 也在这个目录中,我可以看到它的数据,你可以看到它不再是一个文本文件,而是一个二进制文件。这可以通过删除文件重新创建一个新的 barnyard2.waldo 文本文件并重新启动 barnyard2 来重新创建。通过这样做,文件将变成一个大小为 2056 的二进制文件。

文件所有权是 snort:snort,目录 /var/log/snort 的文件权限是 666。

可能的问题??::

我唯一能看到运行不正常的事情是当我停止 barnyard2 并在没有 -D 的情况下启动以查看启动时。

我收到重复错误:

    --== Initialization Complete ==--

Using waldo file '/var/log/snort/barnyard2.waldo':
    spool directory = /var/log/snort
    spool filebase  = snort.u2
    time_stamp      = 1398023768
    record_idx      = 0
Opened spool file '/var/log/snort/snort.u2.1398023768'
WARNING: No function defined to read header.
WARNING: No function defined to read header.
Closing spool file '/var/log/snort/snort.u2.1398023768'. Read 0 records
Opened spool file '/var/log/snort/snort.u2.1398024174'
WARNING: No function defined to read header.
Waiting for new data
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.

当我查看谷歌时,这个错误很少,但我相信 barnyard2 在读取 snort,u2 文件时遇到了问题。您可以在这里看到它似乎可以加载它,但仅此而已。无论如何,在查看 Snorby UI 时,列出的传感器上有 0 个事件。

任何想法将不胜感激。

4

1 回答 1

-1

在我运行 PulledPork 下载 snort 规则后,我收到了一个新的 sid-msg.map 文件,用于当前运行的 snort 版本。重复错误已解决。

于 2014-10-01T17:53:26.473 回答