我的 Snort/Barnyard2 设置需要一些帮助。我的目标是让 Snort 将 unified2 日志发送到 Barnyard2,然后让 Barnyard2 将数据发送到其他位置。这是我当前的设置。
操作系统
- 科学 Linux 6
喷鼻息版本
- 2.9.2.3
稗2版本
- 2.1.9
喷鼻息命令
snort -c /etc/snort/snort.conf -i eth2 &
稗2命令
/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo &
配置文件
output unified2: filename snort.log, limit 128
barnyard2.conf
output alert_syslog: host=127.0.0.1
output database: log, mysql, user=snort dbname=snort password=password host=localhost
通过此设置,barnyard2 显示数据库中的所有正确信息,我正在使用 BASE 在 Web GUI 上查看它。我希望能够使用 barnyard2 将完整的数据包数据发送到系统日志,但在阅读之后,似乎不可能做到这一点。所以我开始尝试修改 snort.conf 文件并添加诸如“output alert_full: alert.full”之类的行。这无疑给了我更多信息,但仍然不是我想要的完整数据包数据。
所以我的问题是,无论如何我可以使用 barnyard2 将警报的完整数据包数据发送到人类可读文件吗?由于我不能将它直接发送到系统日志,我可以创建另一个进程来从该文件中获取数据并将其发送到另一台服务器。如果不是,您会推荐什么标志和/或 snort.conf 配置来获取尽可能多的数据,但仍然能够处理相当多的流量?最后,这些警报将通过 SSH 隧道传送到中央服务器。我试图远离数据库。
我做了一些额外的研究,发现使用最新版本的 Barnyard -
firnsy-barnyard2-v2-1.10-beta2-28可以提供我想要的额外日志记录。它现在能够将完整的数据包数据发送到系统日志。以下是barnyard2.conf文件中的新选项。或者