blade74
20.04.05, 14:39
Hallo,
habe da mal eine Frage zu Snort
Ich habe auf einen Rechner Snort installiert
läuft auch als Netzwerk IDS und einen zweiten Rechner auf den eine Mysql
Datenbank und die Assid Console läuft aber leider bekomme ich die
Information vom Snort nicht in die Mysql Datenbank.
Das ganze läuft über Stunnel da es ja verschlüsselt sein soll.
und syslog-ng
stunnel.conf (IDS server)
client = yes
#chroot = /var/lib/stunnel/
setuid = nobody
setgid = nogroup
#pid = /var/run/stunnel.pid
#cert = /etc/stunnel/stunnel.pem
debug = 7
output = /var/log/stunnel.log
[mysql]
accept = 127.0.0.1:3306
connect = 172.31.16.29:10439
[syslog-ng]
accept = 127.0.0.1:601
connect = 172.31.16.29:10440
syslog-ng.conf
source quelle {
unix-dgram("/dev/log");
internal();
};
#
# filter definitions
#
filter f_snort {
facility(local7);
};
#Ziel
destination stunnel {
tcp("127.0.0.1" port(601));
};
#
destination local{
file("/var/log/snort.log" owner("root") group ("adm") perm (640));
};
# Logen auf den Ãberwachungs-Server
log {
source(quelle); filter(f_snort); destination(stunnel);
};
# Logen au lokalen Rechner zur Kontrolle
#log {
#source(quelle); filter(f_snort); destination(lokal);
# };
Auf der log Server Seite
stunnel.conf
client = no
#chroot = /var/lib/stunnel/
setuid = nobody
setgid = nogroup
pid = /var/run/stunnel.pid
debug = 7
output = /var/log/stunnel.log
#CAfile = /etc/stunnel/certs.pem
cert = /etc/stunnel/stunnel.pem
[mysql]
accept = 10439
connect = 127.0.0.1:3306
[syslog-ng]
accept = 10440
connect = 127.0.0.1:601
syslog-ng.conf
#
# /etc/syslog-ng/syslog-ng.conf
#
# Automatically generated by SuSEconfig on Mon Jan 3 16:47:17 CET 2005.
#
# PLEASE DO NOT EDIT THIS FILE!
#
# you can modify /etc/syslog-ng/syslog-ng.conf.in instead
#
#
#Quelle
source quelle {
tcp(ip(127.0.0.1) port(601) max-connections(20));
};
#Ziel
destination ziel {
file("/var/log/snort/snort.all" owner("root") group ("root")
perm(0640));
};
#Logdateien schreiben
log {
source(quelle); destination(ziel);
};
Ich hoffe mir kann einer sagen warum die Daten nicht in die Mysql Datenbank gelangen
habe da mal eine Frage zu Snort
Ich habe auf einen Rechner Snort installiert
läuft auch als Netzwerk IDS und einen zweiten Rechner auf den eine Mysql
Datenbank und die Assid Console läuft aber leider bekomme ich die
Information vom Snort nicht in die Mysql Datenbank.
Das ganze läuft über Stunnel da es ja verschlüsselt sein soll.
und syslog-ng
stunnel.conf (IDS server)
client = yes
#chroot = /var/lib/stunnel/
setuid = nobody
setgid = nogroup
#pid = /var/run/stunnel.pid
#cert = /etc/stunnel/stunnel.pem
debug = 7
output = /var/log/stunnel.log
[mysql]
accept = 127.0.0.1:3306
connect = 172.31.16.29:10439
[syslog-ng]
accept = 127.0.0.1:601
connect = 172.31.16.29:10440
syslog-ng.conf
source quelle {
unix-dgram("/dev/log");
internal();
};
#
# filter definitions
#
filter f_snort {
facility(local7);
};
#Ziel
destination stunnel {
tcp("127.0.0.1" port(601));
};
#
destination local{
file("/var/log/snort.log" owner("root") group ("adm") perm (640));
};
# Logen auf den Ãberwachungs-Server
log {
source(quelle); filter(f_snort); destination(stunnel);
};
# Logen au lokalen Rechner zur Kontrolle
#log {
#source(quelle); filter(f_snort); destination(lokal);
# };
Auf der log Server Seite
stunnel.conf
client = no
#chroot = /var/lib/stunnel/
setuid = nobody
setgid = nogroup
pid = /var/run/stunnel.pid
debug = 7
output = /var/log/stunnel.log
#CAfile = /etc/stunnel/certs.pem
cert = /etc/stunnel/stunnel.pem
[mysql]
accept = 10439
connect = 127.0.0.1:3306
[syslog-ng]
accept = 10440
connect = 127.0.0.1:601
syslog-ng.conf
#
# /etc/syslog-ng/syslog-ng.conf
#
# Automatically generated by SuSEconfig on Mon Jan 3 16:47:17 CET 2005.
#
# PLEASE DO NOT EDIT THIS FILE!
#
# you can modify /etc/syslog-ng/syslog-ng.conf.in instead
#
#
#Quelle
source quelle {
tcp(ip(127.0.0.1) port(601) max-connections(20));
};
#Ziel
destination ziel {
file("/var/log/snort/snort.all" owner("root") group ("root")
perm(0640));
};
#Logdateien schreiben
log {
source(quelle); destination(ziel);
};
Ich hoffe mir kann einer sagen warum die Daten nicht in die Mysql Datenbank gelangen