- ACID + SNORT
+ Responder ao Tópico
-
ACID + SNORT
Segui o passo a passo de ACID+SNORT em: http://acidlab.sourceforge.net/acid_config.html
Quando vou no meu browser e digito: http://meu_ip/acid/acid_main.php
Me aparece o seguinte erro:
The underlying database snort_db@localhost appears to be incomplete/invalid
Database ERROR:Table 'snort_db.iphdr' doesn't exist
It might be an older version. Only alert databases created by Snort 1.7-beta0 or later are supported
O que faço?
O único link que achei no Google é indecifrável: http://listweb.bilkent.edu.tr/Linux/.../Oct/0025.html
PS: Uso Snort 2.2 no Fedora Core2 e ACID v0.9.6b23.
-
ACID + SNORT
Cara o nome da sua base de dados ta certa?? pq ele diz que não ta encontrando a tabela snort_db.iphdr no seu banco de dados.
da uma olhada se ela existe.
falows
PS: fez isso Snort -- README.database included in the source distribution or at http://www.snort.org/documentation.html ??? e seu snort ta logando no bd mysql??
-
ACID + SNORT
Meu Snort não loga no Banco de Dados. O nome ta certo sim pois é o próprio acid que conectou e criou o banco. Para usar o ACID e Snort de ve logar no mysql? Como faço isso?
-
ACID + SNORT
Sim pro acid funcionar o snort prescisa logar em banco de dados sim, o que deve ter acontecido eh que vc instalou o snort e nao criou os bancos de dados deles, ae o acid deve pegar uma tabela que o snort devia criar ae da erro, qual banco de dados usa??
falows
-
ACID + SNORT
Valeu pela dica ruyneto. Segui este tutorial: http://www.snort.org/docs/Snort_SSL_FC2.pdf e agora a tela entra numa boa e não da mais erro.
-
ACID + SNORT
Blz entao, qq duvida em relação ao snort estamos ae.
falows
-
ACID + SNORT
Agora me surge outra dúvida. Qd escrevo:
[root@lasertools-serv acid]# tail -f /var/log/messages
Jan 10 17:37:23 lasertools-serv snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.172.9:3258 -> 192.168.172.4:8080
Jan 10 17:37:23 lasertools-serv snort: [119:12:1] (http_inspect) APACHE WHITESPACE (TAB) {TCP} 192.168.172.9:3247 -> 192.168.172.4:8080
Jan 10 17:37:32 lasertools-serv snort: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER {TCP} 192.168.172.9:3247 -> 192.168.172.4:8080
Jan 10 17:37:32 lasertools-serv snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.172.9:3259 -> 192.168.172.4:8080
Jan 10 17:37:33 lasertools-serv snort: [119:12:1] (http_inspect) APACHE WHITESPACE (TAB) {TCP} 192.168.172.9:3258 -> 192.168.172.4:8080
Jan 10 17:37:34 lasertools-serv snort: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER {TCP} 192.168.172.9:3256 -> 192.168.172.4:8080
Me apareceu essas linhas acima que sempre apareciam antes e como eu sei que estão indo para o mysql certinho?
Escrevo http://meu_ip/acid e ele abre a tela mas ta tudo zerado.
-
ACID + SNORT
Cara vc alterou o snort.conf descomentando a linha do snort que log na base de dados??a base de dados que o acid olha eh a mesma que o snort loga??Se quiser tenta usar um phpmyadmin pra ver o conteudo da base de dados.
falows
-
ACID + SNORT
O acid olha para a mesma base de dados que o snort e descomentei a linha referente ao banco no snort.conf.
Uso o MySQL Control Center no Windows para ver meu banco de dados e o banco foi criado com tudo corretamente mas os dados não parecem estar sendo gravados nele.
-
ACID + SNORT
Ao descomentar a linha vc adaptou ela ao seu banco de dados??
falows
-
ACID + SNORT
analisando meu logs, vi que meu snort não tava compilado com suporte a mysql.
Então, o compilei:
./configure --with-mysql=/usr/local/mysql --prefix=/etc/snort --enable-linux-smp-stats --enable-flexresp
Reconfigurei o acid com os parâmetros necessários e iniciei o snort:
/etc/snort/bin/snort -D -c /etc/snort/snort.conf -u snort -g snort
Perfeito.
Agora ele grava no banco e quando entro em:
http://meu_ip/acid
Ele me mostra a tela inicial e mostra que existem alertas mas quando clico nos links da página, as páginas são abertas em branco sem conteúdo.
Agora sei que ele gera os dados e grava no banco mas não consigo ver os alertas mas sei que eles existem. Há algo mais a se fazer no acid?
-
ACID + SNORT
cara vc instalou todos os programas que precisa pra mostrar as paginas do acid, acho que o jpgraph e uma outra??adicionou os modulos ao php.ini??
falows