个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我已经使用以下配置安装了 snort
#/etc/snort/snort.conf
ipvar HOME_NET 172.16.0.0/22
ipvar EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
# If you are using reputation preprocessor set these
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
output log_unified2: filename snort.u2, limit 128
我有一个 icmp 规则设置如下
#/etc/snort/rules/icmp.rules
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;)
我开始使用以下命令开始 snort,它开始正常并且正在记录,因为我在 alerts 和 snort.u2.timestamp
snort -q -u snort -g snort -c /etc/snort/snort.conf -i ens32 -D
我的banyard2配置文件
#/etc/snort/barnyard2.conf
config reference_file: /etc/snort/reference.config
config classification_file: /etc/snort/classification.config
config gen_file: /etc/snort/gen-msg.map
config sid_file: /etc/snort/sid-msg.map
config logdir: /var/log/snort
config hostname: snort
config interface: ens32
config daemon
config waldo_file: /var/log/snort/barnyard2.waldo
input unified2
output database: log, mysql, user=root password=support dbname=snorby host=127.0.0.1
# if you want to have to forward alerts also to syslog, uncomment the following 2 lines.
#output alert_syslog_full: sensor_name snortIds1-eth1, local
#output log_syslog_full: sensor_name snortIds1-eth1, local, log_priority LOG_CRIT
我开始使用下面的命令
barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo
在日志中,我遇到了以下问题,并且没有任何内容写入 mysql。
Sep 1 17:15:22 snort snort[4374]:
Sep 1 17:15:22 snort snort[4374]: [ Port Based Pattern Matching Memory ]
Sep 1 17:15:22 snort snort[4374]: +- [ Aho-Corasick Summary ] -------------------------------------
Sep 1 17:15:22 snort snort[4374]: | Storage Format : Full-Q
Sep 1 17:15:22 snort snort[4374]: | Finite Automaton : DFA
Sep 1 17:15:22 snort snort[4374]: | Alphabet Size : 256 Chars
Sep 1 17:15:22 snort snort[4374]: | Sizeof State : Variable (1,2,4 bytes)
Sep 1 17:15:22 snort snort[4374]: | Instances : 169
Sep 1 17:15:22 snort snort[4374]: | 1 byte states : 159
Sep 1 17:15:22 snort snort[4374]: | 2 byte states : 10
Sep 1 17:15:22 snort snort[4374]: | 4 byte states : 0
Sep 1 17:15:22 snort snort[4374]: | Characters : 94550
Sep 1 17:15:22 snort snort[4374]: | States : 72655
Sep 1 17:15:22 snort snort[4374]: | Transitions : 7856776
Sep 1 17:15:22 snort snort[4374]: | State Density : 42.2%
Sep 1 17:15:22 snort snort[4374]: | Patterns : 5205
Sep 1 17:15:22 snort snort[4374]: | Match States : 5820
Sep 1 17:15:22 snort snort[4374]: | Memory (MB) : 37.50
Sep 1 17:15:22 snort snort[4374]: | Patterns : 0.58
Sep 1 17:15:22 snort snort[4374]: | Match Lists : 1.27
Sep 1 17:15:22 snort snort[4374]: | DFA
Sep 1 17:15:22 snort snort[4374]: | 1 byte states : 0.97
Sep 1 17:15:22 snort snort[4374]: | 2 byte states : 34.39
Sep 1 17:15:22 snort snort[4374]: | 4 byte states : 0.00
Sep 1 17:15:22 snort snort[4374]: +----------------------------------------------------------------
Sep 1 17:15:22 snort snort[4374]: [ Number of patterns truncated to 20 bytes: 319 ]
Sep 1 17:15:22 snort snort[4374]: pcap DAQ configured to passive.
Sep 1 17:15:22 snort snort[4374]: Acquiring network traffic from "ens32".
Sep 1 17:15:22 snort snort[4374]: Initializing daemon mode
Sep 1 17:15:22 snort snort[4375]: Daemon initialized, signaled parent pid: 4374
Sep 1 17:15:22 snort snort[4375]: Reload thread starting...
Sep 1 17:15:22 snort snort[4375]: Reload thread started, thread 0x7f1b35e85700 (4376)
Sep 1 17:15:22 snort snort[4375]: Decoding Ethernet
Sep 1 17:15:22 snort snort[4375]: Checking PID path...
Sep 1 17:15:22 snort snort[4375]: PID path stat checked out ok, PID path set to /var/run/
Sep 1 17:15:22 snort snort[4375]: Writing PID "4375" to file "/var/run//snort_ens32.pid"
Sep 1 17:15:22 snort kernel: device ens32 entered promiscuous mode
Sep 1 17:15:22 snort snort[4375]: Set gid to 40000
Sep 1 17:15:22 snort snort[4375]: Set uid to 40000
Sep 1 17:15:22 snort snort[4375]:
Sep 1 17:15:22 snort snort[4375]: --== Initialization Complete ==--
Sep 1 17:15:22 snort snort[4375]: Commencing packet processing (pid=4375)
Sep 1 17:15:39 snort barnyard2: +[ Signature Suppress list ]+
----------------------------
Sep 1 17:15:39 snort barnyard2: +[No entry in Signature Suppress List]+
Sep 1 17:15:39 snort barnyard2: ----------------------------
+[ Signature Suppress list ]+
Sep 1 17:15:47 snort barnyard2: Barnyard2 spooler: Event cache size set to [2048]
Sep 1 17:15:47 snort barnyard2: Log directory = /var/log/snort
Sep 1 17:15:47 snort barnyard2: INFO database: Defaulting Reconnect/Transaction Error limit to 10
Sep 1 17:15:47 snort barnyard2: INFO database: Defaulting Reconnect sleep time to 5 second
Sep 1 17:15:47 snort barnyard2: Initializing daemon mode
Sep 1 17:15:47 snort barnyard2: Daemon initialized, signaled parent pid: 4378
Sep 1 17:15:47 snort barnyard2: PID path stat checked out ok, PID path set to /var/run/
Sep 1 17:15:47 snort barnyard2: Writing PID "4379" to file "/var/run//barnyard2_ens32.pid"
Sep 1 17:15:47 snort barnyard2: Daemon parent exiting
Sep 1 17:16:14 snort avahi-daemon[579]: Invalid response packet from host 172.16.0.211.
Sep 1 17:17:15 snort barnyard2: [SignatureReferencePullDataStore()]: No Reference found in database ...
Sep 1 17:17:15 snort barnyard2: database: compiled support for (mysql)
Sep 1 17:17:15 snort barnyard2: database: configured to use mysql
Sep 1 17:17:15 snort barnyard2: database: schema version = 107
Sep 1 17:17:15 snort barnyard2: database: host = 127.0.0.1
Sep 1 17:17:15 snort barnyard2: database: user = root
Sep 1 17:17:15 snort barnyard2: database: database name = snorby
Sep 1 17:17:15 snort barnyard2: database: sensor name = snort:ens32
Sep 1 17:17:15 snort barnyard2: database: sensor id = 1
Sep 1 17:17:15 snort barnyard2: database: sensor cid = 12
Sep 1 17:17:15 snort barnyard2: database: data encoding = hex
Sep 1 17:17:15 snort barnyard2: database: detail level = full
Sep 1 17:17:15 snort barnyard2: database: ignore_bpf = no
Sep 1 17:17:15 snort barnyard2: database: using the "log" facility
Sep 1 17:17:15 snort barnyard2:
Sep 1 17:17:15 snort barnyard2: --== Initialization Complete ==--
Sep 1 17:17:15 snort barnyard2: Barnyard2 initialization completed successfully (pid=4379)
Sep 1 17:17:15 snort barnyard2: Using waldo file '/var/log/snort/barnyard2.waldo':
spool directory = /var/log/snort
spool filebase = snort.u2
time_stamp = 1409587851
record_idx = 475
Sep 1 17:17:15 snort barnyard2: Opened spool file '/var/log/snort/snort.u2.1409587851'
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: Closing spool file '/var/log/snort/snort.u2.1409587851'. Read 484 records
Sep 1 17:17:15 snort barnyard2: Opened spool file '/var/log/snort/snort.u2.1409588122'
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
Sep 1 17:17:15 snort barnyard2: WARNING database [Database()]: Called with Event[0x0] Event Type [0] (P)acket [0x13f0d00], information has not been outputed.
最佳答案
要使 barnyard2 正常工作,由 snort 创建的 unified2 输出文件必须包含警报和 PCAP 数据。
因此,在/etc/snort/snort.conf(或您的 snort 配置所在的任何位置)中,您需要指定 output unified2: <filename> (我建议不要使用“snort.log”作为文件名)。
查看barnyard2全局变量文件/etc/default/barnyard2或 /etc/sysconfig/barnyard2注释掉 BINARY_LOG设置,并确保日志文件名与您在 snort.conf 中使用的文件名匹配.
重新启动 snort,然后重新启动 barnyard2 以查看您是否启动并运行。
编辑:
无论出于何种原因,BINARY_LOG 设置优于其他设置,并且会导致 snort 仅生成 pcap 日志文件。 (尝试运行 file /var/log/snort/snort.log.*,您可能会看到这些文件是纯 pcaps(数据包捕获)——这意味着它们不包含 Snort 警报/事件信息。
而 Barnyard2 将只处理包含事件和 pcap 信息的日志文件。除非我忽略了某些设置。去搞清楚。如果你运行 file在有效的 barnyard2 unified2 文件上,结果应该只是“数据”或类似性质的东西。
希望对您有所帮助。我为此浪费了很多时间和精力。
关于mysql - barnyard2 不与 mysql 对话,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25609832/
25
4
0
我能想到的最好的标题,但要澄清的是,情况是这样的: 我正在开发一种类似短 url 的服务,该服务允许用户使用他们的 Twitter 帐户“登录”并发布内容。现在这项服务可以包含在 Tweetdeck
我正在开发一个应用程序,我需要用户使用类似聊天的系统相互交互。 为此,我想创建一个对话模型。据我所知,我将使用多对多关系。 具有以下模型:Conversation、User 和 Message,我想象
我试图在一个页面上多次实现 jquery 对话框 - 基本上,我想在用户单击某个人的名字时显示有关该人的更多信息。 我正在使用 php 生成页面。 我尝试这样做,并使其部分工作,但我只能使页面上的第一
我制作了一个 CustomTypeDialog 类,我想要的是使用不在 Activity 布局中的 EditText。当我尝试单击其中一个按钮时出现空指针异常,我认为这是因为它们不在 Activity
我有这个程序,我想知道如何继续它。我想让用户在“发生了什么”之后输入更多文本,然后让程序响应。感谢您的帮助 int main() { cout > answer; switch(an
我目前正在开发一个由 javafx ui 支持的 java 游戏。 玩家。应该可以和npc对话,这没问题。但我想要一定的文字效果。就像在 polemon 游戏或 Undertale 中一样,文本会逐个
所以基本上我正在尝试重写一个 bash 脚本,该脚本使用对话框 --radiolist 来选择区域设置、键盘、时间。目前,标签是与本地对应的数字(我为它创建了一个哈希表)。但因为我有大约 100 个语
有人可以告诉我如何使用 Watson Conversation 和其他服务(例如 Twilio)调用实时电话并进行对话吗? 我可以使用 Watson Conversation、Twilio 和 Nod
我有一个包含几个 .txt 文件的目录。让我们说 hi.txt hello.txt hello_test.txt test.txt 在 VBA 中使用文件对话框,如何过滤以在下拉列表中仅显示“*tes
我有一个 session 范围的 bean,ComponenteM,它被注入(inject)到请求范围的 bean,ComponenteC 中。 @Named @RequestScoped publi
我需要收集推文“集”,即用于我的研究的推特对话; 这些集合还需要满足以下条件 其中的推文数量,以及 参与人数。 我研究过 Twitter Streaming API、twitter-stream ge
我想在用户 Lync 客户端中打开一个新对话,其中包含预先确定的消息文本,但消息的收件人由用户选择,此过程从用户单击网站。 这可能吗? 最佳答案 这里的部分问题是,如果不知道要与谁开始对话(如果有意义
在 JBoss AS7 中工作,使用 Conversation Scope 管理浏览器选项卡中的用户交互。 我注意到我的页面附加了 ?cid 参数。这很棒 - 直到用户为页面添加书签然后尝试返回它!对
本地和远程标记以及Call-ID的组合用于识别对话。据说Call-ID是一次调用的唯一值。那么为什么 Call-ID 不单独用于识别对话呢? 最佳答案 一句话:“发夹”。 “Hairpinning”是
除了这行不通之外,这里没什么好说的,我不知道为什么。 Arduino 上的串行输出什么也没有。 C# 代码的输出变为等待响应,然后什么也没有。 当我启动 C# 程序时,Arduino 上的蓝牙卡 LE
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
目前正在开发一个应用程序,它甚至可以与 Android 2.2 一起使用,我使用支持库及其 AppCompat 主题来设计我的 UI。尽管大部分 UI 工作正常,但我有一个带有自定义布局的 Alert
我正在尝试对 MySQL 表 I 进行类似对话的输出,如下所示: Content From To Date Lorem
我已经创建了消息系统,在 messages.php 上我想显示消息对话,应该显示最后一条消息,但不知道查询,因为我是 php 新手,这里是数据库信息 table:conversation_chat
在那里,这是我的代码结构: 主要 Activity : public class PureDataActivity extends Activity { private TextView st
我是一名优秀的程序员,十分优秀!