当前位置：首页
网络安全

snort输出插件的方法是什么？目的又是什么？

2018-01-25 14:17:28责编：llp 来源：驱动管家人气：

日志信息通常存放在文件中。默认情况下，Snort将这些信息存放在/var/log/snort目录下，但是也可以在启动Snort时用命令行开关来改变这个目录。日志信息可以存储为文本格式或者二进制格式，二进制格式的文件可以供Snort或者Tcpdump随后访问。Barnyard工具可以分析Snort产生的二进制日志文件。将日志存放为二进制文件可以有更高的效率，因为这种格式开销相对较低。将Snort应用在高速网络环境中，将日志存放为二进制文件是非常必要的。

引言：

snort的输出插件最常用的方法一是将警报（例如告警和其他日志消息）记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache (http://www.apache.com) Web服务器，我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作，使我们可以将入侵检测数据记录到数据库，然后用web界面察看和分析这些数据。

snort输出插件的方法是什么？目的又是什么？

另外一种就是用外部代理将警报输出到Barnyard,这需要snort采用统一格式进行输出。

第一种会产生一个主要的输出瓶劲。。。。

这样snort就可以尽可能地处理数据流并产生警报

Barnyard安装：

#./configure --enable-mysql --with-mysql-includes=/usr/local/mysql/include/mysql

--with-mysql-libraries=/usr/local/mysql/lib/mysql

#make

#make install

cp etc/barnyard.conf /etc/.

目的：

snort的输出不直接输出到数据库，而是输出到Unfied的统一格式，这样可以加快snort的处理数据流。

修改/etc/barnyard.conf配置文件：

config interface: eth0

支持acid的数据库输出:

output alert_acid_db: mysql, database snort, server localhost, user root, password admin,detail full

output log_acid_db: mysql, database snort_archieve, server localhost, user root, passwordadmin,detail full

修改：/etc/snort/snort.conf

output alert_unified: filename /var/log/snort/snort.alert, limit 128

output log_unified: filename /var/log/snort/snort.log, limit 128

这样，可以加快snort的速度

执行模式有单步，连续，检验指示的连续方式

如：下面这种就是连续方式把统一日志文件输出到插件

#barnyard -c /etc/barnyard.conf -d /var/log/snort

-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map

-p /etc/snort/classification.config -f snort.alert

参数含义：

-c /etc/barnyard.conf barnyard的配置文件位置

-d /var/log/snort snort的ubfied统一格式文件的位置

-s /etc/snort/sid-msg.map 告诉sid-msg.map文件的位置,文件sid-msg.map 包含一个从msg标签到snort规则ID的映射。

-g /etc/snort/gen-msg.map告诉gen-msg.map文件的位置，注意gen-msg.map在snort的安装程序的etc目录下

-p /etc/snort/classification.config告诉classification.config文件的位置,该文件定义规则类

-f snort.alert告诉barnyard以连续方式运行时需要的Unfied统一文件的基本名字。snort在产生的文件后面会自动加一个unix时间的时间戳，基本名字就是去掉时间戳的文件名

这样就可以连续实现把unfied的文件输出到插件，本例也就是输出到acid数据库中

如果是单步模式

#barnyard -o -c /etc/barnyard.conf -d /var/log/snort

-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map

-p /etc/snort/classification.config -f snort.alert.时间戳

加参数-d是后台运行的意思，这样写到acid的数据库后，执行完就回到shell界面下了。

永恒之蓝补丁是防范wannacry蠕虫勒索病毒的一种方法
背景5月12日晚，一款名为Wannacry的蠕虫勒索软件袭击全球网络，这被认为是迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。该软件被认为是一种蠕虫变种（也被称为“wannacryptor”或“wcry
详情2018-01-21 21:36:06责编：llp 来源：驱动管家
office 2010的技术预览版被泄露且可能受到恶意攻击
微软警告广大用户，在从第三方网站下载泄露的Office 2010技术预览版时有可能会受到恶意代码攻击，这一情况和之前的Windows 7 RC版本泄露相似，两者都被恶意代码编写者利用并作为媒介传播恶意软件。微软Office
详情2018-01-18 18:05:40责编：llp 来源：驱动管家
渗透测试者需要有哪些必须的基本的技能？
随着国内外重大信息安全事故数量的急剧增长，安全在整个IT行业中的不断升温，国内外渗透测试从业者也不断的增多，但是安全体系庞大复杂，并非朝夕就能掌握相关的专业知识和技能。最近在国外的一篇博客上看见一位
详情2018-01-18 16:38:46责编：llp 来源：驱动管家
ghost系统有漏洞有问题的ghost系统哪些？
一、WindowsXP万能Ghos
详情2018-01-05 18:34:15责编：llp 来源：驱动管家
密码忘了怎么办？常见的计算机网络密码破解方法介绍
我们知道，为了有效维护用户的使用权，进入电脑、上Internet、保护文档等，都要用到不同的账号或密码口令，可以说这些密码就是使用电脑的“通行证”。如果万一忘记或弄混了哪个密码，机器是不认人的，没准儿会误
详情2018-01-17 17:31:14责编：llp 来源：驱动管家
怎么避免黑客攻击？避免黑客攻击有哪些方法？
日常使用中，IE庞大的使用人群和层出不穷的高危漏洞，使它往往很容易受到来自各方面的影响和攻击而导致失效。而由于卸载的不便和难以通过覆盖安装解决问题，因此很多朋友在面对此问题时往往选择了格式化硬盘重装
详情2018-01-11 11:08:41责编：llp 来源：驱动管家
软件破解教程软件破解新手必须了解的问题和答案
1．软件怎么判断我们是否注册了?不要忘了，软件最终是按照人的思维做的，我们回到自身来，“如果是你，你怎么判断别人是否注册了呢”，“我要别人输入用户名和注册码啊”，聪明的想法，很多软件也是这样做的，如
详情2018-01-20 17:30:15责编：llp 来源：驱动管家
ripper病毒怎么删除？U盘里的ripper病毒无法删除怎么办？
电脑，软件DiskGenius下载地址：softs 19980 html1、打开DiskGenius软件，左面找到你的U盘，选定它。2、单击上方的‘硬盘’选项。3、选择其中的‘重建主引导记录’4、选择其中的‘清除
详情2018-01-15 19:00:15责编：llp 来源：驱动管家
什么是密码破解？密码破解的攻击方式有哪些？
密码与用户帐户的有效利用是网络安全性的最大问题之一。在本文中，Rob Shimonski将研究密码破解：如何以及为何进行密码破解。Rob将只说明渗透网络是多么简单，攻击者如何进入网络、他们使用的工具以及抗击它的方
详情2018-01-09 10:59:32责编：llp 来源：驱动管家
php注入的万能密码是什么？为什么这个万能密码能进入后台？
可是有的人说对PHP的站如果是GPC魔术转换开启，就会对特殊符号转义，就彻底杜绝了PHP注入。其实说这话的人没有好好想过，更没有尝试过用万能密码进PHP的后台。其实GPC魔术转换是否开启对用万能密码进后台一点影响
详情2018-01-24 12:27:47责编：llp 来源：驱动管家

相关阅读

推荐阅读

热门装机软件

1
2345看图王14.8M
14.8M/
下载
2
芒果TV48.9M
48.9M/
下载
3
搜狗五笔11M
11M/
下载
4
美图秀秀28.6M
28.6M/
下载
5
Axure RP Pro34.9M
34.9M/
下载
6
企业微信53M
53M/
下载
7
最新迅雷精简官方版迅雷极速版3.3M
3.3M/
下载
8
百度浏览器51.9M
51.9M/
下载
9
腾讯视频37.1M
37.1M/
下载
10
搜狐影音19.5M
19.5M/
下载

更多万能驱动