0

win7でsnortを使っています。スニファ モードで snort を使用すると、多くのパケットをファイルに記録できることがわかっているので、それらを mysql サーバーに記録したいと考えています。snort.conf でデータベース出力プラグインを有効にし、ルールをカスタマイズしました。

log ip any any <> any any (sid:2000000;)

テストとして。

すべて問題なく、IP が 172.18.186.186 の PC を使用して、別の 172.18.186.189 に ping を実行しました。私が取得したいのは 8 つのレコードです。そのうち 4 つのレコードがあり、それらのip_srces は 172.18.186.186 です。ただし、4 つのレコードを取得したところ、ip_dsts は 172.18.186.186 で、ip_srces は 172.18.186.189 です。

わかりました、それは私の問題です。見たい 8 つのレコードを取得するにはどうすればよいですか? 出来ますか?前もって感謝します。

4

2 に答える 2

1

はい、 snorbyをチェックできます。また、snort を mysql や mongodb などのデータベースに接続するための多くの実装があります。

この記事では、mysql にログを記録する方法について説明します。

于 2011-12-14T00:20:56.523 に答える
0

ダイレクト SQL 出力はSnortツリー 2.9.2 で廃止され、ある時点で削除されるため、出力プラグイン Unified2 を確認してください。

Barnyard2は、unified2 の出力を読み取り、そのデータを SQL、syslog、またはその他のデータソースに書き込むことができるバイナリです。

参考までに: Snorby は、ACID/BASE 標準のデータベース スキーマ用の Ruby On Rails Web アプリです。

于 2012-08-01T19:25:58.653 に答える