banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix BASE trên Snort không hiển thị thông tin.  XML
  [Question]   BASE trên Snort không hiển thị thông tin. 02/12/2012 21:13:20 (+0700) | #1 | 271505
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Chào mọi người. Vấn đề của em là em cài BASE để theo dõi các cảnh báo từ Snort. Nhưng lại không nhận được bất cứ cảnh báo nào cũng như BASE ko có bất cứ dữ liệu gì.

Mô hình của em là các cảnh báo sau khi được phát hiện --> Barnyard2 --> lưu xuống MySQL --> và BASE sẽ đọc những log này.

Barnyard em đã build với --with-mysql thành công.

file config của Snort phần output là:

Code:
output unified2: filename snort.log, limit 128


file config của Barnyard là:
Code:
config logdir: /var/log/barnyard2
config hostname:        localhost
config interface:       eth0
config waldo_file: /var/log/snort/barnyard2.waldo
output database: log, mysql, user=snort password=snortpass dbname=snort host=localhost


Các file, thư mục cần thiết em đã đều tạo rồi, cơ sở dữ liệu cũng đã tạo

fie base_conf.php

Code:
$alert_dbname   = 'snort';
$alert_host     = 'localhost';
$alert_port     = '';
$alert_user     = 'snort';
$alert_password = 'snortpass';


Sau đó em viết thử một rule để test trong local.rules như sau
Code:
alert icmp any any -> any any (msg:"ICMP Testing Rule"; sid:1000001;)
alert tcp any any -> any 80 (msg:"TCP Testing Rule"; sid:1000002;)
alert udp any any -> any any (msg:"UDP Testing Rule"; sid:1000003;)


Start snort và barnyard2
Code:
# snort -c /etc/snort/snort.conf -A console
# barnyard2 -c /etc/snort/barnyard2 -d /var/log/barnard2/ -f snort.log -w /var/log/snort/barnyard2.waldo


Sau đó em thử ping tử một máy khác thì các cảnh báo đã hiển ra console.

Nhưng khi truy cập vô BASE thì lại không thấy bất cứ cái gì, log trong /var/log/snort cũng đã được tạo ra.

Em không biết sai chỗ nào, nhở mọi người giúp đỡ với ạ

Jazz
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 02/12/2012 21:39:32 (+0700) | #2 | 271507
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Sau khi search lại trên diễn đàn thì hình như vấn đề của em là BASE không đủ thẩm quyền để đọc các file log của Snort. Vì BASE đang chạy với user apache và chown của thư mục /var/log/snort thuộc về snort:snort.

Sau đó em

Code:
chmod 755 -R /var/log/snort


Và test lại thử nhưng BASE vẫn chưa thể đọc được log của Snort.
Jazz
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 03/12/2012 09:45:49 (+0700) | #3 | 271513
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
barnyard2 đã đưa được vào mysql chưa?
snort -> unified2 -> barnyard2 -> mysql
BASE chỉ đọc từ mysql nên bạn phải chắc barnyard2 đã out ra được mysql
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 03/12/2012 19:19:06 (+0700) | #4 | 271529
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]

vd_ wrote:
barnyard2 đã đưa được vào mysql chưa?
snort -> unified2 -> barnyard2 -> mysql
BASE chỉ đọc từ mysql nên bạn phải chắc barnyard2 đã out ra được mysql 


Vấn đề của mình chính là chỗ này, hôm qua khi xem mình cứ nghĩ là do permision của thư mục chứa log mà BASE ko thể đọc được.

Sau đó mình thử kiểm tra lại tất cả cấu hình và các file config, sau đó start lại Snort và start lại Barnyard2 và thấy log có tạo ra đúng thuộc sở hữu của Snort.

Sau đó mình để ý thấy một điều lại là Barnyard2 không record bất cứ gói tin nào. Dù bên Snort vẫn báo có khoảng bao nhiêu % gói tin TCP, ICMP...

Vấn đề mình đã xác định được là do Barnyard2 ko record đc, nhưng kiểm tra đi kiểm tra lại vấn chưa thấy lỗi ở đâu.
Jazz
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 04/12/2012 09:15:47 (+0700) | #5 | 271538
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
gửi config của barnyard2 lên cho mọi người xem và góp ý đi bạn
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 07/12/2012 23:26:07 (+0700) | #6 | 271630
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Em trình bày lại cách em cài đặt Barnyard2 như sau.

Code:
# ./configure --with-mysql –with-mysql-libraries=/usr/lib64/mysql && make && make install
# cp etc/barnyard2.conf /etc/snort # Copy tập tin cấu hình của Barnyard2 đặt vào thư mục cấu hình của Snort.
# mkdir /var/log/barnyard2
# chmod 666 /var/log/barnyard2
# touch /var/log/snort/barnyard2.waldo
# cp sid-msg.map /etc/snort -> file này nằm trong tập luật tải về.


Tập tin cấu hình của Barnyard2 như sau:
Code:
config reference_file: /etc/snort/reference.config
config classification_file: /etc/snort/classification.config
config gen_file: /etc/snort/gen-msg.map
config sid_file: /etc/snort/sid-msg.map
config logdir: /var/log/barnyard2
config hostname: localhost
config interface: eth0
config waldo_file: /var/log/snort/barnyard2.waldo
#output alert_fast: stdout
output database: log, mysql, user=snort password=snortpass dbname=snort host=localhost


Sau đó em chạy snort và barnyard2 với 2 command sau
Code:
# snort –u snort –g snort-c /etc/snort/snort.conf –i eth0
# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log -w /var/log/snort/barnyard2waldo


Và kết quả là Barnyard2 không record đc packet nào.
Jazz
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 10/12/2012 09:44:32 (+0700) | #7 | 271683
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
1. thư mục /var/log/snort có file unified2 nào không? => đảm bảo snort đã capture được
2. file waldo là barnyard2.waldo hay là barnyard2waldo?
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 10/12/2012 22:57:53 (+0700) | #8 | 271710
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]

vd_ wrote:
1. thư mục /var/log/snort có file unified2 nào không? => đảm bảo snort đã capture được[code] 

Dạ, đã có log dạng snort.log.xxx rồi. Và đã có thông tin trong đó luôn

vd_ wrote:
2. file waldo là barnyard2.waldo hay là barnyard2waldo? 

Chỗ này em paste nhầm, command chạy đúng là file baryard2.waldo.
Jazz
[Up] [Print Copy]
  [Question]   BASE trên Snort không hiển thị thông tin. 11/12/2012 08:20:31 (+0700) | #9 | 271717
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
- chạy barnyard2 với thông số -v, đồng thời bật output fast trong barnyard2 để coi nó có output fast không.

- Đọc thêm /var/log/message (hoặc /var/log/syslog) coi coi barnyard2 có phun log ra không?

- Version của barnyard2 là gì?
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|