我需要一些有关 Snort/Barnyard2 设置的帮助。我的目标是让 Snort 将 unified2 日志发送到 Barnyard2,然后让 Barnyard2 将数据发送到其他位置。这是我当前的设置。
操作系统
- 科学Linux 6
Snort 版本
- 2.9.2.3
Barnyard2 版本
- 2.1.9
Snort 命令
snort -c /etc/snort/snort.conf -i eth2 &
Barnyard2 命令
/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo &
snort配置文件
output unified2: filename snort.log, limit 128
谷仓2.conf
output alert_syslog: host=127.0.0.1
output database: log, mysql, user=snort dbname=snort password=password host=localhost
通过此设置,barnyard2 显示了数据库中的所有正确信息,我正在使用 BASE 在 Web GUI 上查看它。我希望能够使用 barnyard2 将完整的数据包数据发送到 syslog,但在阅读大约,似乎不可能做到这一点。所以我开始尝试修改 snort.conf 文件并添加“output alert_full: alert.full”之类的行。这确实给了我更多信息,但仍然不是我想要的完整数据包数据。
所以我的问题是,我是否可以使用 barnyard2 将警报的完整数据包数据发送到人类可读的文件中?由于我无法将其直接发送到 syslog,因此我可以创建另一个进程来从该文件中获取数据并将其发送到另一台服务器。如果不行,您会推荐哪些标志和/或 snort.conf 配置来获取尽可能多的数据,但仍然能够处理相当多的流量?最后,这些警报将通过 SSH 隧道发送到中央服务器。我试图远离数据库。
答案1
我做了一些额外的研究,发现使用最新版本的 Barnyard -firnsy-barnyard2-v2-1.10-beta2-28可以给我想要的额外日志记录。它现在可以将完整的数据包数据发送到 syslog。以下是文件中的新选项barnyard2.conf。
output log_syslog_full: sensor_name snort-sensor, local, operation_mode default
或者
output log_syslog_full: sensor_name snort-sensor, local, operation_mode complete