Могу ли я вывести журналы snort в базу данных?

Question

Я использую snort в win7. Мы знаем, что используя snort в режиме сниффера, мы можем регистрировать много пакетов в файл, и теперь я хочу записать их на сервер MySQL. Я включил подключаемый модуль базы данных в snort.conf и правило:

log ip any any <> any any (sid:2000000;) 

в качестве теста.

Все в порядке, и я использовал компьютер с IP-адресом 172.18.186.186 для проверки связи с другим 172.18.186.189. Я надеюсь получить 8 записей, среди которых будет 4 записи, а их ip_src 172.18.186.186. Однако я только что получил 4 записи, и их ip_dst 172.18.186.186, а ip_src 172.18.186.189.

ОК, это моя проблема. Как я могу получить 8 записей, которые я хочу увидеть? Является ли это возможным? Заранее спасибо.

Answer 1

да, вы можете проверить снорби . и существует множество реализаций для подключения snort к базе данных, такой как mysql или mongodb и т. д.

Эта статья , объясняющая, как вы можете войти в mysql.

Answer 2

Пожалуйста, посмотрите на плагин вывода unified2, потому что прямой вывод SQL устарел в дереве snort 2.9.2 и в какой-то момент будет удален.

Barnyard2 - это двоичный файл, способный считывать выходные данные unified2 и записывать эти данные в SQL, системный журнал или другой источник данных.

К вашему сведению: Snorby - это просто Ruby On Railsвеб-приложение для схемы базы данных для стандарта ACID / BASE.