Ubuntu 12.04下安装snort详解(2)

以下命令的功能是在MySQL中建立一个snort数据库,并建立一个snort用户来管理这个数据库,设置snort用户的口令为123456。
mysql –u root –p


mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('123456');
mysql> exit


这样就为 snort 在 MySQL 中建立了数据库的结构,其中包括各个 snort 需要使用的表。
cd /usr/local/installsnort/snort-mysql
zcat create_mysql.gz | mysql -u snort -D snort -p123456


设置 snort 把 log 文件输出到 MySQL 数据库中
修改 Snort 的配置文件:/etc/snort/snort.conf
sudo vim /etc/snort/snort.conf
在配置文件中将 HOME_NET 有关项注释掉,然后将 HOME_NET 设置为本机 IP 所在网络,将 EXTERNAL_NET 相关项注释掉,设置其为非本机网络,然后修改规则库读取路径:
#var HOME_NET any
var HOME_NET 192.168.0.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
var RULE_PATH rules
将 output database 相关项注释掉,将日志输出设置到 MySQL 数据库中,如下所示:
output database: log, mysql, user=snort password=123456 dbname=snort host=localhost
output database: alert, mysql, user=snort password=123456 dbname=snort host=localhost
这样,snort 就不再向 /var/log/snort 目录下的文件写记录了,转而将记录存放在 MySQL 的snort数据库中。这时候可以测试一下 Snort 工作是否正常:
snort -c /etc/snort/snort.conf -A(报警显示在控制台)
snort -g snort -c /etc/snort/snort.conf(报警记录在mysql)

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/20238.html