Назад | Перейти на главную страницу

Snort / Barnyard2 Logging

Мне нужна помощь с настройкой Snort / Barnyard2. Моя цель состоит в том, чтобы Snort отправлял логи unified2 в Barnyard2, а затем Barnyard2 отправлял данные в другие места. Вот моя текущая настройка.

Операционные системы

Версия Snort

Barnyard2 Версия

Команда Snort

snort -c /etc/snort/snort.conf -i eth2 &

Команда Barnyard2

/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo &

snort.conf

output unified2: filename snort.log, limit 128

barnyard2.conf

output alert_syslog: host=127.0.0.1
output database: log, mysql, user=snort dbname=snort password=password host=localhost

При такой настройке barnyard2 показывает всю правильную информацию в базе данных, и я использую BASE для просмотра ее в веб-интерфейсе. Я надеялся отправить полные пакетные данные в системный журнал с помощью barnyard2, но после прочтения вокруг, кажется, что это невозможно. Тогда я начал пытаться изменить файл snort.conf и добавить строки вроде «output alert_full: alert.full». Это определенно дало мне намного больше информации, но все же не полные пакетные данные, как я хочу.

Итак, мой вопрос: могу ли я использовать barnyard2 для отправки полных пакетных данных предупреждений в файл, читаемый человеком? Поскольку я не могу отправить его напрямую в системный журнал, я могу создать другой процесс, который будет брать данные из этого файла и отправлять их на другой сервер. Если нет, то какие флаги и / или конфигурацию snort.conf вы бы порекомендовали, чтобы получить как можно больше данных, но при этом иметь возможность обрабатывать довольно большой трафик? В конце концов, эти оповещения будут отправляться на центральный сервер через туннель SSH. Я стараюсь держаться подальше от баз данных.

Я провел дополнительное исследование и обнаружил, что с использованием последней версии Barnyard - firnsy-barnyard2-v2-1.10-beta2-28, дает мне желаемый дополнительный журнал. Теперь у него есть возможность отправлять полные пакетные данные в системный журнал. Ниже представлены новые параметры в barnyard2.conf файл.

output log_syslog_full: sensor_name snort-sensor, local, operation_mode default

ИЛИ

output log_syslog_full: sensor_name snort-sensor, local, operation_mode complete