Anzeige:
Ergebnis 1 bis 9 von 9

Thema: Snort loggt nicht in MySQL-DB

  1. #1
    Registrierter Benutzer
    Registriert seit
    Apr 2003
    Beiträge
    74

    Question Snort loggt nicht in MySQL-DB

    Ich habe ein kleines Problem - gesucht habe ich schon, aber gefunden leider nichts - nämlich, dass Snort v2.0.0 nicht in meine Datenbank (mit ACID als Frontend) loggt (es wird bei der Statistik "Traffic Profile" gar nichts angezeigt). Und zwar habe ich Snort mit MySQL-Unterstützung installiert, die MySQL-Datenbank läuft auch. Dem User habe ich die Rechte SELECT, INSERT und UPDATE gegeben (ändert aber auch nichts, wenn er global alle Rechte bekommt!). Der Test schließt allem Anschein nach erfolgreich ab:

    Code:
    # snort -T -u snort -g snort -i ppp0 -c /etc/snort/snort.conf
    [...]
    Snort sucessfully loaded all rules and checked all rule chains!
    database: Closing connection to database "snort"
    Snort exiting
    Wo kann man erkennen, was das Problem genau ist? Danke.

    z0ny
    Old C programmers never die. They're just cast into void.

  2. #2
    Registrierter Benutzer
    Registriert seit
    Apr 2003
    Beiträge
    8
    ich schieb das Thema nochma nachoben weil ich das gleiche Problem habe!
    In der MySQL Datenbank sind zwars Daten enthalten aber bei acid seh ich nichts,
    ich hab mit Scanner-Tools von aussen Port-Scans gemacht und nichts tut sich.
    Kann vielleicht mal jemand seine snort.conf posten?
    wäre hilfreiche

  3. #3
    the_Worm
    Registriert seit
    Feb 2003
    Beiträge
    37
    ich schieb mal wieder nach oben, habe selbes problem

  4. #4
    LinuXRuleZ ! Avatar von Tillit
    Registriert seit
    Feb 2003
    Ort
    73
    Beiträge
    430
    ich bin - das reicht... *ehrlich* ;-)
    wer nen fehler findet, kann ihn behalten
    Registrierte Linuxerin # 303553 :) http://counter.li.org
    >freiwillige< registrierung => unterstützt linux

  5. #5
    Registrierter Benutzer
    Registriert seit
    Apr 2003
    Ort
    Enniger
    Beiträge
    94
    naja werd das tehma noch mal nach oben bringen hab das Problem auch .. bin nach der anleitung gegangen und nun funkzt es auf einmal net mehr.. der startete den erst komplett dann startet der den nochmal und schliest wieder,

    hier ein auszug:

    router:~ # snort -T -u snort -g snort -i ppp0 -c /etc/snort/snort.conf
    Running in IDS mode
    Log directory = /var/log/snort

    Initializing Network Interface ppp0

    --== Initializing Snort ==--
    Initializing Output Plugins!
    Decoding 'ANY' on interface ppp0
    Initializing Preprocessors!
    Initializing Plug-ins!
    Parsing Rules file /etc/snort/snort.conf

    ++++++++++++++++++++++++++++++++++++++++++++++++++ +
    Initializing rule chains...
    No arguments to frag2 directive, setting defaults to:
    Fragment timeout: 60 seconds
    Fragment memory cap: 4194304 bytes
    Fragment min_ttl: 0
    Fragment ttl_limit: 5
    Fragment Problems: 0
    Self preservation threshold: 500
    Self preservation period: 90
    Suspend threshold: 1000
    Suspend period: 30
    Stream4 config:
    Stateful inspection: ACTIVE
    Session statistics: INACTIVE
    Session timeout: 30 seconds
    Session memory cap: 8388608 bytes
    State alerts: INACTIVE
    Evasion alerts: INACTIVE
    Scan alerts: ACTIVE
    Log Flushed Streams: INACTIVE
    MinTTL: 1
    TTL Limit: 5
    Async Link: 0
    State Protection: 0
    Self preservation threshold: 50
    Self preservation period: 90
    Suspend threshold: 200
    Suspend period: 30
    Stream4_reassemble config:
    Server reassembly: INACTIVE
    Client reassembly: ACTIVE
    Reassembler alerts: ACTIVE
    Ports: 21 23 25 53 80 110 111 143 513 1433
    Emergency Ports: 21 23 25 53 80 110 111 143 513 1433
    http_decode arguments:
    Unicode decoding
    IIS alternate Unicode decoding
    IIS double encoding vuln
    Flip backslash to slash
    Include additional whitespace separators
    Ports to decode http on: 80
    rpc_decode arguments:
    Ports to decode RPC on: 111 32771
    alert_fragments: INACTIVE
    alert_large_fragments: ACTIVE
    alert_incomplete: ACTIVE
    alert_multiple_requests: ACTIVE
    telnet_decode arguments:
    Ports to decode telnet on: 21 23 25 119
    Using LOCAL time
    database: compiled support for ( mysql )
    database: configured to use mysql
    database: user = ids
    database: password is set
    database: database name = snortdb
    database: sensor name = 80.137.228.185
    database: sensor id = 47
    database: schema version = 106
    database: using the "alert" facility
    1348 Snort rules read...
    1348 Option Chains linked into 145 Chain Headers
    0 Dynamic rules
    ++++++++++++++++++++++++++++++++++++++++++++++++++ +

    Rule application order: ->activation->dynamic->alert->pass->log

    --== Initialization Complete ==--

    -*> Snort! <*-
    Version 2.0.1 (Build 88)
    By Martin Roesch (roesch@sourcefire.com, www.snort.org)

    Snort sucessfully loaded all rules and checked all rule chains!
    database: Closing connection to database "snortdb"
    Snort exiting

  6. #6
    Agent (Clone #17264) Avatar von Jasper
    Registriert seit
    Jul 2002
    Ort
    The Matrix (Reloaded)
    Beiträge
    3.073

    Re: Snort loggt nicht in MySQL-DB

    Original geschrieben von z0ny

    Wo kann man erkennen, was das Problem genau ist? Danke.
    hmm, hab hier keine probleme mit. kannst du dich als der snortuser mit dem snortpassword an der db anmelden?

    -j
    "Oh my God!" "Smith will suffice" (Agent Smith, Matrix)
    "The first rule of holes is: when you find yourself in one, stop digging." (PJ, Groklaw)

  7. #7
    kleiner bruder von ruth Avatar von HangLoose
    Registriert seit
    Aug 2002
    Ort
    Old Europe
    Beiträge
    3.894
    moin moin

    @Schlams

    die option -T ist nur zum testen da, den dein snort erfolgreich bestanden hat . danach beendet sich snort wieder, siehe auch man snort.

    wenn du snort im hintergrund laufen willst, machst du das mit der option -D.


    Gruß HL
    "You only go around once, so you better go hard!"

    Open Source!
    "First they ignore you, then they laugh at you, then they fight you, then you win".

  8. #8
    Registrierter Benutzer
    Registriert seit
    Apr 2003
    Ort
    Enniger
    Beiträge
    94
    oh man dummer fehler THX...
    hab den befehl so aus der history übernommen =)

  9. #9
    kleiner bruder von ruth Avatar von HangLoose
    Registriert seit
    Aug 2002
    Ort
    Old Europe
    Beiträge
    3.894
    moin

    mir ist der *fehler* auch erst beim zweiten mal lesen des threads aufgefallen .




    Gruß HL
    "You only go around once, so you better go hard!"

    Open Source!
    "First they ignore you, then they laugh at you, then they fight you, then you win".

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •