我可以将snort日志输出到数据库吗?
我在win7下用的是snort。 我们知道在嗅探器模式下使用snort我们可以记录很多数据包 到一个文件中,现在我想将它们记录到 mysql 服务器。我启用了 snort.conf中的数据库输出插件并定制了一条规则:
log ip any any <> any any (sid:2000000;)
作为测试。
一切正常,我使用一台 ip 为 172.18.186.186 的 PC ping 另一个 172.18.186.189。我希望得到的是8条记录,其中有4条记录,它们的ip_srces是172.18.186.186。但是我只得到 4 条记录,它们的 ip_dst 是 172.18.186.186,而 ip_src 是 172.18.186.189。
好吧,这就是我的问题。如何获取我想查看的8条记录?是否可以? 提前致谢。
I'm using snort in win7.
We know that using snort in its sniffer mode we can log a lot packets
into a file, and now I want to log them to a mysql server. I enabled
the database output plugin in the snort.conf and customed a rule:
log ip any any <> any any (sid:2000000;)
as a test.
Everything is OK and I used a PC whose ip is 172.18.186.186 to ping another 172.18.186.189. What I hope to get is 8 records, among which there would be 4 records and their ip_srces are 172.18.186.186. However I just got 4 records and their ip_dsts are 172.18.186.186 while the ip_srces are 172.18.186.189.
OK,that's my problem. How can I get the 8 records I want to see? Is it possible?
Thanks in advance.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
是的,您可以查看 snorby。还有很多用于将 snort 连接到数据库的实现,例如 mysql 或 mongodb 等。
文章 解释了如何登录 mysql。
yes, you can check out snorby. and lot of implementation there are for connecting snort to a database, such as mysql or mongodb etc.
This article explaing you how u can log to mysql.
请查看输出插件unified2,因为在snort树2.9.2中直接SQL输出已被弃用并将在某个时候被删除。
Barnyard2 是一个二进制文件,能够读取 Unified2 输出并将该数据写入 SQL、系统日志或其他数据源。
仅供参考:Snorby 只是一个 Ruby On Rails Web 应用程序,用于 ACID/BASE 标准的数据库模式。
Please look at the output plugin unified2, because direct SQL output is deprecated in the snort tree 2.9.2 and will be removed at some point.
Barnyard2 is a binary capable of reading unified2 output and writing that data to a SQL, syslog, or other datasource.
FYI: Snorby is just a Ruby On Rails web app for a database schema for the ACID/BASE standard.