Snorby不在主页面上显示警报

时间:2014-04-20 20:14:12

标签: snort

构建Snort / Barnyard2 / Snorby设置。

无法让snorby看到事件。

Snort和barnyard2都在启动时运行。

这是与我的问题相关的配置。

Snort的:

output unified2: filename snort.u2, limit 128

Barnyard2:

config reference_file:      /usr/local/snort/etc/reference.config
config classification_file: /usr/local/snort/etc/classification.config
config gen_file:            /usr/local/snort/etc/gen-msg.map
config sid_file:            /usr/local/snort/etc/sid-msg.map
config hostname:localhost 
config interface:  eth1
input unified2
output database: log, mysql, user=snort password=snorbypass dbname=snorby host=localhost

Snorby:

snorby: &snorby
  adapter: mysql
  username: snort
  password: "snorbypass"
  host: localhost

rc.local中:

ifconfig eth1 up 

/usr/local/snort/bin/snort -D -u snort -g snort \
        -c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
        -d /var/log/snort \
        -f snort.u2 \
        -w /var/log/snort/barnyard2.waldo \
        -D

现状:

现在,当系统启动时,我可以看到在rc.local中发出的snort和barnyard2进程正在运行。

在浏览器中浏览localhost时,我可以登录Snorby并更改密码等...

我还可以看到传感器下列出的传感器。

当看到工人时,有一个正在运行。我也从web ui中删除了这个并重新创建它没有任何问题。

在数据库中查找snorby时,我可以从签名" SELECT *中找到#*;并看到这里列出的很多签名。

另外,我可以看到最新的/var/log/snort/snort.u2.1398021580的大小不断更新。 我的barnyard.waldo也在这个目录中,我可以用数据看到它,你可以看到它不再是文本文件,而是二进制文件。这可以通过删除重新创建新的barnyard2.waldo文本文件并重新启动barnyard2的文件来重新创建。通过这样做,文件将变为大小为2056的二进制文件。

文件所有权是snort:snort,目录/ var / log / snort上的文件权限是666。

可能的问题?? ::

我能看到的唯一不能正常工作的是我停止barnyard2并在没有-D的情况下启动以查看启动。

我收到重复错误:

    --== Initialization Complete ==--

Using waldo file '/var/log/snort/barnyard2.waldo':
    spool directory = /var/log/snort
    spool filebase  = snort.u2
    time_stamp      = 1398023768
    record_idx      = 0
Opened spool file '/var/log/snort/snort.u2.1398023768'
WARNING: No function defined to read header.
WARNING: No function defined to read header.
Closing spool file '/var/log/snort/snort.u2.1398023768'. Read 0 records
Opened spool file '/var/log/snort/snort.u2.1398024174'
WARNING: No function defined to read header.
Waiting for new data
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.
WARNING: No function defined to read header.

当我查看Google时,此错误很少,但我相信barnyard2在阅读snort,u2文件时遇到问题。你可以看到它似乎加载它没关系,但这是关于它。无论如何,当查看Snorby UI时,列出的传感器上有0个事件。

任何想法都将不胜感激。

1 个答案:

答案 0 :(得分:-1)

一旦我运行PulledPork以下载snort规则,我收到了一个新的sid-msg.map文件,用于当前运行的snort版本。重复错误已解决。

相关问题
最新问题