0.如果要输出到mysql,请安装barnyard2

在此之前,请启动并配置mysql

git clone https://github.com/firnsy/barnyard2

cd barnyard2

./autogen.sh
./configure --with-mysql-libraries=/usr/lib64/mysql






make

make install




1.配置snort.conf




mkdir /etc/snort

mkdir /usr/local/lib/snort_dynamicrules

mkdir /var/log/snort




把安装文件etc目录的文件全部复制到/etc/snort里面,进入snort源码目录(sid-msg.map在规则包里面),然后




cp /etc/* /etc/snort/




把rule文件拷贝至/etc/snort/下面


拷贝rules、so_rules、preproc_rules到/etc/snort/下


(或者下载snort规则直接解压到/etc/snort/)


进入snort源码目录的/so_rules/precompiled/RHEL-6-0/x86-64/2.9.6.2




cp * /usr/local/lib/snort_dynamicrules




snort.conf分为9部分


1:Set the network variables


2:Configure the decoder


3:Configure the base detection engine


4:Configure dynamic loaded libraries


5:Configure preprocessors


6:Configure output plugins


7:Customize your rule set


8:Customize preprocessor and decoder rule set


9:Customize shared object rule set


第一部分:


a.最新的snort版本支持ipv6,如果你的网络没有ipv6的话,把ipvar都改成var


b.把变量HOME_NET改为自己的网络 如 192.168.0.1/24


c.把EXTERNAL_NET改为!$HOME_NET


var RULE_PATH ../rules
var SO_RULE_PATH ../so_rules
var PREPROC_RULE_PATH ../preproc_rules


都改成相应的绝对路径,比如/etc/snort/rules等


然后




touch  /etc/snort/rules/white_list.rules

touch  /etc/snort/rules/black_list.rules




第二部分:


只需要把最后一行改为:config logdir: /var/log/snort 注意:去掉前面的#


第三部分:不需要修改


第四部分:不需要修改


第五部分:不需要修改


第六部分:配置输入插件,注意同时只能有一个插件同时存在,在output unified2:后另加一行


output unified2: filename snort.log, limit 128


第七部分:这里主要是配置snort启动时候需要读取哪些规则文件,这里根据实际情况决定是否保留,刚开始建议注释掉除local.rules之外所有的规则文件。


第八部分:取消注释所有


第九部分:取消注释所有


至此snort安装并配置完毕,下面说下barnyard2的安装和配置


2.配置barnyard2.conf


复制barnyard2.conf文件至/etc/snort


建立barnyard2日志目录




mkdir /var/log/barnyard2




建立一个barnyard2需要的空白文件




touch /var/log/snort/barnyard2.waldo




Barnyard2.conf有三部分:


1:configure the variable declarations


2:setup the input plugins


3 :setup the output plugins


第一部分:


config reference_file: ../etc/snort/reference.config


config classification_file: ../etc/snort/classification.config


config gen_file: ../etc/snort/gen-msg.map


config sid_file: ../etc/snort/sid-msg.map


这些文件是否存在


然后找到下面的行,取消注释并修改配置如下:


config logdir: /var/log/barnyard2


config hostname: localhost


config interface: eth0


config waldo_file: /var/log/snort/barnyard2.waldo


第二部分:不需要修改


第三部分:注释掉alert_fast


在最后新增


output database: log, mysql, user=snort password=snortpass dbname=snort host=localhost


PS密码不需要加引号


至此Barnyard2安装完成


(如果继续安装snorby,则暂时不需要简历mysql表)


运行:




barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo -C /etc/snort/classification.config

snort --daq-dir=/usr/local/lib/daq --daq pfring --daq-mode passive  -u root -g root  -c /etc/snort/snort.conf -i eth0 -v -e 


												


											
配置snort的更多相关文章
	

    
						
  1. Windows 下如何安装配置Snort视频教程
		
    Windows 下如何安装配置Snort视频教程: 第一步: http://www.tudou.com/programs/view/UUbIQCng360/ 第二部: http://www.tudou ...
    
		
    2. 
								
  2. wstngfw中配置snort
		
    wstngfw中配置snort 概述 Snort是入侵检测和预防系统.它可以将检测到的网络事件记录到日志并阻止它们.Snort使用称为规则的检测签名进行操作. Snort规则可以由用户自定义创建,或者 ...
    
		
    3. 
						
  3. 安装配置Snort和barnyard2
		
    1.安装依赖包 yum install –y gcc flex bison zlib* libpcap* tcpdump gcc-c++ zlib* libdnet libdnet-devel pcr ...
    
		
    4. 
						
  4. 实验 snort安装配置与规则编写
		
    1 实验目的 在linux或windows任意一个平台下完成snort的安装,使snort工作在NIDS模式下,并编写符合相关情景要求的snort规则. 2 实验环境 物理机:windows 8.1  ...
    
		
    5. 
						
  5. Snort - 配置文件
		
    Snort.conf 版本 2.9.8.3 编译可用选项: --enable-gre --enable-mpls --enable-targetbased --enable-ppm --enable- ...
    
		
    6. 
						
  6. Aho-Corasick算法、多模正则匹配、Snort入门学习
		
    希望解决的问题 . 在一些高流量.高IO的WAF中,是如何对规则库(POST.GET)中的字符串进行多正则匹配的,是单条轮询执行,还是多模式并发执行 . Snort是怎么组织.匹配高达上千条的正则规则 ...
    
		
    7. 
						
  7. snort使用
		
    http://jingyan.baidu.com/article/d8072ac45a626fec95cefd85.html 接上篇,如果编译安装snort并指定了prefix,那么须指定一个软链接, ...
    
		
    8. 
						
  8. ubuntu 12.04 安装snort acidbase相关注意事项
		
    一.安装Snort 1.安装libpcap 1 apt-get install libpcap-dev 2.安装snort 1 2 apt-get install snort apt-get inst ...
    
		
    9. 
						
  9. 配置suricata
		
    yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake auto ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 笔记整理--Linux_Socket
			
    揭开Socket编程的面纱 - 博客 - 伯乐在线 - Google Chrome (2013/9/22 19:28:24) 揭开Socket编程的面纱 2013/09/21 | 分类: IT技术 | ...
    
			
    2. 
						
  2. 用php和imagemagick来处理图片文件的上传和缩放处理
			
    啥也不说,直接上代码,大家可以自行添加增加水印功能: <?php /** * * @author zhao jinhan * @date 2014年1月13日11:54:30 * @email  ...
    
			
    3. 
						
  3. javascript小数乘法精确率问题
			
    做前端页面开发的经常会遇到数值的乘法计算,带小数位计算会出现值溢出的问题,如: JS里做小数的乘法运算时会出现浮点错误,具体可以测试一下: <script>alert(11*22.9)&l ...
    
			
    4. 
						
  4. PHP处理密码的几种方式【转载】
			
    转自:http://www.3lian.com/edu/2015/08-01/235322.html 在使用PHP开发Web应用的中,很多的应用都会要求用户注册,而注册的时候就需要我们对用户的信息进行 ...
    
			
    5. 
						
  5. Linux KVM 安装配置
			
    --------------------------一.前言二.环境三.安装与配置四.创建kvm虚拟机 一.前言 KVM,即Kernel-based Virtual Machine的简称,是一个开源的 ...
    
			
    6. 
						
  6. rm: 无法删除 "xxxxx.o" : 输入/输出错误.
			
    rm: 无法删除 "xxxxx.o" : 输入/输出错误. 碰到无法删除的文件,以为完蛋了,要重装. 后面重启一下就可以了
    
			
    7. 
						
  7. avd
			
    http://stackoverflow.com/questions/2662650/making-the-android-emulator-run-faster http://www.cnblogs ...
    
			
    8. 
						
  8. 【jsp 练习】 给定三角形三边判断是否能组成三角形及计算面积
			
    Test.java package package1; public class Test { double side1 = -1 , side2 = -1 , side3 = -1 , area = ...
    
			
    9. 
						
  9. VMI
			
    在虚拟机外部监控虚拟机内部运行状态的方法被称为虚拟机自省(Virtual Machine Introspection,VMI).VMI允许特权域查看非特权域的运行状态,并能获得被监控虚拟机运行状况相关 ...
    
			
    10. 
						
  10. div.2/C. They Are Everywhere<two pointer>
			
    题意: 给出包含n (3<=n<=100000)个字符的字符串,计算出包含所有类型字符的最小区间长度. 题解: Two pointer.注意区间的处理. #include<cstdi ...
    
			
    11.