0.如果要输出到mysql,请安装barnyard2
在此之前,请启动并配置mysql
git clone https://github.com/firnsy/barnyard2 cd barnyard2 ./autogen.sh
./configure --with-mysql-libraries=/usr/lib64/mysql
make make install
1.配置snort.conf
mkdir /etc/snort mkdir /usr/local/lib/snort_dynamicrules mkdir /var/log/snort
把安装文件etc目录的文件全部复制到/etc/snort里面,进入snort源码目录(sid-msg.map在规则包里面),然后
cp /etc/* /etc/snort/
把rule文件拷贝至/etc/snort/下面
拷贝rules、so_rules、preproc_rules到/etc/snort/下
(或者下载snort规则直接解压到/etc/snort/)
进入snort源码目录的/so_rules/precompiled/RHEL-6-0/x86-64/2.9.6.2
cp * /usr/local/lib/snort_dynamicrules
snort.conf分为9部分
1:Set the network variables
2:Configure the decoder
3:Configure the base detection engine
4:Configure dynamic loaded libraries
5:Configure preprocessors
6:Configure output plugins
7:Customize your rule set
8:Customize preprocessor and decoder rule set
9:Customize shared object rule set
第一部分:
a.最新的snort版本支持ipv6,如果你的网络没有ipv6的话,把ipvar都改成var
b.把变量HOME_NET改为自己的网络 如 192.168.0.1/24
c.把EXTERNAL_NET改为!$HOME_NET
var RULE_PATH ../rules
var SO_RULE_PATH ../so_rules
var PREPROC_RULE_PATH ../preproc_rules
都改成相应的绝对路径,比如/etc/snort/rules等
然后
touch /etc/snort/rules/white_list.rules touch /etc/snort/rules/black_list.rules
第二部分:
只需要把最后一行改为:config logdir: /var/log/snort 注意:去掉前面的#
第三部分:不需要修改
第四部分:不需要修改
第五部分:不需要修改
第六部分:配置输入插件,注意同时只能有一个插件同时存在,在output unified2:后另加一行
output unified2: filename snort.log, limit 128
第七部分:这里主要是配置snort启动时候需要读取哪些规则文件,这里根据实际情况决定是否保留,刚开始建议注释掉除local.rules之外所有的规则文件。
第八部分:取消注释所有
第九部分:取消注释所有
至此snort安装并配置完毕,下面说下barnyard2的安装和配置
2.配置barnyard2.conf
复制barnyard2.conf文件至/etc/snort
建立barnyard2日志目录
mkdir /var/log/barnyard2
建立一个barnyard2需要的空白文件
touch /var/log/snort/barnyard2.waldo
Barnyard2.conf有三部分:
1:configure the variable declarations
2:setup the input plugins
3 :setup the output plugins
第一部分:
config reference_file: ../etc/snort/reference.config
config classification_file: ../etc/snort/classification.config
config gen_file: ../etc/snort/gen-msg.map
config sid_file: ../etc/snort/sid-msg.map
这些文件是否存在
然后找到下面的行,取消注释并修改配置如下:
config logdir: /var/log/barnyard2
config hostname: localhost
config interface: eth0
config waldo_file: /var/log/snort/barnyard2.waldo
第二部分:不需要修改
第三部分:注释掉alert_fast
在最后新增
output database: log, mysql, user=snort password=snortpass dbname=snort host=localhost
PS密码不需要加引号
至此Barnyard2安装完成
(如果继续安装snorby,则暂时不需要简历mysql表)
运行:
barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo -C /etc/snort/classification.config snort --daq-dir=/usr/local/lib/daq --daq pfring --daq-mode passive -u root -g root -c /etc/snort/snort.conf -i eth0 -v -e