cd /usr/local/snort/rules
테스트용 rules 파일 생성
sudo vim local.rules
맨밑줄에
alert tcp any any -> any any (msg:"test"; sid:1000000)
# tcp 를 통해 모든 ip의 모든 port 를 통해, 모든 ip의 모든port 를 향해 패킷이 들어오면 msg 를 남겨라
1. barnyard2, snort 실행
1) snort
sudo /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0 -D
감시할 NIC에 따라 eth0 이든 eth1 이든
eth0 이 아닌경우 barnyard2 에서도 설정을 동일하게 맞춰줘야함
2) barnyard2
sudo /usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf -G /usr/local/snort/etc/gen-msg.map -S /usr/local/snort/etc/sid-msg.map -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -D
/var/log/snort/ 에 snort.u2.* 파일이 생성되고, 기록이 쌓이고
barnyard2 를 실행시키면
snort.u2.* 를 읽어와 DB에 기록함
출처 : http://rene402.tistory.com/44
'Security > Barnyard' 카테고리의 다른 글
| Suricata IPS CentOS 6.4 설치 방법 (0) | 2014.03.31 |
|---|---|
| barnyard2 데몬 만들기 (0) | 2014.03.31 |
| barnyard2 syslog 설정 (0) | 2014.03.31 |
| barnyard2 설치 (0) | 2014.03.31 |
| Barnyard2 설치 (1) | 2014.03.31 |
댓글