我在this指南后安装了Snort和Barnyard2。 我即将安装BASE但它需要PHP5并且它不再受支持。我安装了PHP7,无法降级。
经过一段潜伏之后,我决定使用Graylog2来查看日志。
Snort配置为登录unified2格式,然后barnyard2读取并保存到MySQL数据库。 据我所知(不多)在没有BASE的情况下登录MySQL是没有意义的,我需要将日志转发给Graylog。
现在,我应该
1)删除Barnyard并告诉Snort以人类可读的格式登录(效率不高?)然后将日志发送到Graylog
2a)告诉Barnyard停止向MySQL发送日志,但将它们直接转发给Greylog
2b)告诉Barnyard只翻译unified2并将人类可读的日志写入另一个文件,然后将其发送给Graylog。
无论如何,怎么样?
Snort,Barnyard和Graylog在同一台机器上。
答案 0 :(得分:0)
所以,我想出了这个,但我想得到一个比我更了解的人的意见。
从barnyard2配置文件(example - 第258行到296)中删除它
output database: log, mysql, user=snort password=************** dbname=snort host=localhost sensor_name=sensor01
并为syslog
添加正确的输出 output alert_syslog
(或output log_syslog_full: sensor_name whatever, server 127.0.0.1, protocol udp, port 514?)
然后在syslog config(graylog documentation,here)
中 *.* @graylog.example.org:514;RSYSLOG_SyslogProtocol23Format
答案 1 :(得分:0)
您还可以将barnyard配置为直接登录Graylog服务器。您只需在Graylog服务器上创建一个新的syslog输入,并将barnyard syslog输出指向该ip / port,而不是通过syslog登录到localhost。