构建 Snort / Barnyard2 / Snorby 设置。
无法让打鼾者看到事件。
Snort 和 barnyard2 都在启动时运行。
这是我与问题相关的配置。
哼哼:
output unified2: filename snort.u2, limit 128
谷仓2:
config reference_file: /usr/local/snort/etc/reference.config
config classification_file: /usr/local/snort/etc/classification.config
config gen_file: /usr/local/snort/etc/gen-msg.map
config sid_file: /usr/local/snort/etc/sid-msg.map
config hostname:localhost
config interface: eth1
input unified2
output database: log, mysql, user=snort password=snorbypass dbname=snorby host=localhost
斯诺比:
snorby: &snorby
adapter: mysql
username: snort
password: "snorbypass"
host: localhost
rc.local:
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
现状:
现在,当系统启动时,我可以看到 snort 和 barnyard2 进程都在运行,如 rc.local 中发出的那样。
在浏览器中浏览本地主机时,我可以登录 Snorby 并更改密码等...
我还可以看到传感器下方列出的传感器。
看工人,有一个在奔跑。我还从网络用户界面中删除了它并重新创建它,没有任何问题。
在数据库中查找 snorby 时,我可以“从签名中选择 *”并看到此处列出的很多签名。
此外,我可以看到最新的 /var/log/snort/snort.u2.1398021580 的大小正在不断更新。 我的barnyard.waldo也在这个目录中,我可以看到它的数据,你可以看到它不再是一个文本文件,而是一个二进制文件。可以通过删除文件重新创建新的 barnyard2.waldo 文本文件并重新启动 barnyard2 来重新创建。这样,该文件将变成一个大小为 2056 的二进制文件。
文件所有权为snort:snort,目录/var/log/snort的文件权限为666。
可能的问题??::
我看到的唯一无法正常运行的是当我停止 barnyard2 并在没有 -D 的情况下启动以查看启动情况时。
我收到重复错误:
--== Initialization Complete ==--
Using waldo file '/var/log/snort/barnyard2.waldo':
spool directory = /var/log/snort
spool filebase = snort.u2
time_stamp = 1398023768
record_idx = 0
Opened spool file '/var/log/snort/snort.u2.1398023768'
WARNING: No function defined to read header.
WARNING: No function defined to read header.
Closing spool file '/var/log/snort/snort.u2.1398023768'. Read 0 records
Opened spool file '/var/log/snort/snort.u2.1398024174'
WARNING: No function defined to read header.
Waiting for new data
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
当我浏览谷歌时,这个错误很少,但我相信 barnyard2 在读取 snort,u2 文件时遇到问题。你可以看到这里似乎加载没问题,但仅此而已。无论如何,在 Snorby UI 中查看时,列出的传感器上有 0 个事件。
任何想法将不胜感激。
这篇文章有点晚了,但也许我的回复会帮助其他人......
最近,我在 Snorby 上遇到了类似的问题。在使用 mysql DB、Barnyard2 等进行了一些“优质时间”之后,我发现事件确实填充在 Snorby“事件”页面下,而不是仪表板下。罪魁祸首是一个被禁用的“snorby_worker”守护进程......
快速“修复”.. ubuntu-“systemctl status snorby_worker”-->如果禁用-->“sudo systemctl启用snorby_worker”
当我弄乱我的众多传感器配置时,我一定是无意中禁用了它。
因此,话虽这么说,在你的位置..我会首先检查工作人员服务的状态,以及各个事件是否正在“事件”页面上填充。检查 snorby 工作人员服务的状态。如果禁用,启用它,并检查以确保它已启动。
干杯!
当我运行 PulledPork 来下载 snort 规则时,我收到了当前运行的 snort 版本的新 sid-msg.map 文件。重复错误已解决。