Ich habe ein kleines Problem - gesucht habe ich schon, aber gefunden leider nichts - nämlich, dass Snort v2.0.0 nicht in meine Datenbank (mit ACID als Frontend) loggt (es wird bei der Statistik "Traffic Profile" gar nichts angezeigt). Und zwar habe ich Snort mit MySQL-Unterstützung installiert, die MySQL-Datenbank läuft auch. Dem User habe ich die Rechte SELECT, INSERT und UPDATE gegeben (ändert aber auch nichts, wenn er global alle Rechte bekommt!). Der Test schließt allem Anschein nach erfolgreich ab:


# snort -T -u snort -g snort -i ppp0 -c /etc/snort/snort.conf
[...]
Snort sucessfully loaded all rules and checked all rule chains!
database: Closing connection to database "snort"
Snort exiting

Wo kann man erkennen, was das Problem genau ist? Danke.

z0ny

ich schieb das Thema nochma nachoben weil ich das gleiche Problem habe!
In der MySQL Datenbank sind zwars Daten enthalten aber bei acid seh ich nichts,
ich hab mit Scanner-Tools von aussen Port-Scans gemacht und nichts tut sich.
Kann vielleicht mal jemand seine snort.conf posten?
wäre hilfreiche ;)

ich schieb mal wieder nach oben, habe selbes problem:(

schau mal hier:

http://www.harry.homelinux.org/modules.php?name=News&new_topic=2

greetZ!

naja werd das tehma noch mal nach oben bringen hab das Problem auch .. bin nach der anleitung gegangen und nun funkzt es auf einmal net mehr.. der startete den erst komplett dann startet der den nochmal und schliest wieder,

hier ein auszug:

router:~ # snort -T -u snort -g snort -i ppp0 -c /etc/snort/snort.conf
Running in IDS mode
Log directory = /var/log/snort

Initializing Network Interface ppp0

--== Initializing Snort ==--
Initializing Output Plugins!
Decoding 'ANY' on interface ppp0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf

++++++++++++++++++++++++++++++++++++++++++++++++++ +
Initializing rule chains...
No arguments to frag2 directive, setting defaults to:
Fragment timeout: 60 seconds
Fragment memory cap: 4194304 bytes
Fragment min_ttl: 0
Fragment ttl_limit: 5
Fragment Problems: 0
Self preservation threshold: 500
Self preservation period: 90
Suspend threshold: 1000
Suspend period: 30
Stream4 config:
Stateful inspection: ACTIVE
Session statistics: INACTIVE
Session timeout: 30 seconds
Session memory cap: 8388608 bytes
State alerts: INACTIVE
Evasion alerts: INACTIVE
Scan alerts: ACTIVE
Log Flushed Streams: INACTIVE
MinTTL: 1
TTL Limit: 5
Async Link: 0
State Protection: 0
Self preservation threshold: 50
Self preservation period: 90
Suspend threshold: 200
Suspend period: 30
Stream4_reassemble config:
Server reassembly: INACTIVE
Client reassembly: ACTIVE
Reassembler alerts: ACTIVE
Ports: 21 23 25 53 80 110 111 143 513 1433
Emergency Ports: 21 23 25 53 80 110 111 143 513 1433
http_decode arguments:
Unicode decoding
IIS alternate Unicode decoding
IIS double encoding vuln
Flip backslash to slash
Include additional whitespace separators
Ports to decode http on: 80
rpc_decode arguments:
Ports to decode RPC on: 111 32771
alert_fragments: INACTIVE
alert_large_fragments: ACTIVE
alert_incomplete: ACTIVE
alert_multiple_requests: ACTIVE
telnet_decode arguments:
Ports to decode telnet on: 21 23 25 119
Using LOCAL time
database: compiled support for ( mysql )
database: configured to use mysql
database: user = ids
database: password is set
database: database name = snortdb
database: sensor name = 80.137.228.185
database: sensor id = 47
database: schema version = 106
database: using the "alert" facility
1348 Snort rules read...
1348 Option Chains linked into 145 Chain Headers
0 Dynamic rules
++++++++++++++++++++++++++++++++++++++++++++++++++ +

Rule application order: ->activation->dynamic->alert->pass->log

--== Initialization Complete ==--

-*> Snort! <*-
Version 2.0.1 (Build 88)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)

Snort sucessfully loaded all rules and checked all rule chains!
database: Closing connection to database "snortdb"
Snort exiting

Original geschrieben von z0ny

Wo kann man erkennen, was das Problem genau ist? Danke.


hmm, hab hier keine probleme mit. kannst du dich als der snortuser mit dem snortpassword an der db anmelden?

-j

moin moin

@Schlams

die option -T ist nur zum testen da, den dein snort erfolgreich bestanden hat ;). danach beendet sich snort wieder, siehe auch man snort.

wenn du snort im hintergrund laufen willst, machst du das mit der option -D.


Gruß HL

oh man dummer fehler THX...
hab den befehl so aus der history übernommen =)

moin

mir ist der *fehler* auch erst beim zweiten mal lesen des threads aufgefallen ;).




Gruß HL