日志信息通常存放在文件中。默認情況下，Snort將這些信息存放在/var/log/snort目錄下，但是也可以在啟動Snort時用命令行開關來改變這個目錄。日志信息可以存儲為文本格式或者二進制格式，二進制格式的文件可以供Snort或者Tcpdump隨后訪問。Barnyard工具可以分析Snort產生的二進制日志文件。將日志存放為二進制文件可以有更高的效率，因為這種格式開銷相對較低。將Snort應用在高速網絡環(huán)境中，將日志存放為二進制文件是非常必要的。



引言：

snort的輸出插件最常用的方法一是將警報（例如告警和其他日志消息）記錄到數據庫中。MySQL用作存儲所有這些數據的數據庫引擎。利用ACID及Apache (http://www.apache.com)Web服務器，我們可以分析這些數據。Snort、Apache、MySQL及ACID的共同協(xié)作，使我們可以將入侵檢測數據記錄到數據庫，然后用web界面察看和分析這些數據。



另外一種就是用外部代理將警報輸出到Barnyard,這需要snort采用統(tǒng)一格式進行輸出。

第一種會產生一個主要的輸出瓶勁。。。。

這樣snort就可以盡可能地處理數據流并產生警報



Barnyard安裝：



#./configure --enable-mysql --with-mysql-includes=/usr/local/mysql/include/mysql

--with-mysql-libraries=/usr/local/mysql/lib/mysql

#make

#make install



cp etc/barnyard.conf /etc/.



目的：

snort的輸出不直接輸出到數據庫，而是輸出到Unfied的統(tǒng)一格式，這樣可以加快snort的處理數據流。



修改/etc/barnyard.conf配置文件：

config interface: eth0



支持acid的數據庫輸出:

output alert_acid_db: mysql, database snort, server localhost, user root, password admin,detail full



output log_acid_db: mysql, database snort_archieve, server localhost, user root, password admin,detail full



修改：/etc/snort/snort.conf

output alert_unified: filename /var/log/snort/snort.alert, limit 128

output log_unified: filename /var/log/snort/snort.log, limit 128



這樣，可以加快snort的速度





執(zhí)行模式有單步，連續(xù)，檢驗指示的連續(xù)方式



如：下面這種就是連續(xù)方式把統(tǒng)一日志文件輸出到插件

#barnyard -c /etc/barnyard.conf -d /var/log/snort

-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map

-p /etc/snort/classification.config -f snort.alert



參數含義：

-c /etc/barnyard.conf barnyard的配置文件位置



-d /var/log/snort snort的ubfied統(tǒng)一格式文件的位置



-s /etc/snort/sid-msg.map 告訴sid-msg.map文件的位置,文件sid-msg.map 包含一個從msg標簽到snort規(guī)則ID的映射。

-g /etc/snort/gen-msg.map 告訴gen-msg.map文件的位置，注意gen-msg.map在snort的安裝程序的etc目錄下



-p /etc/snort/classification.config 告訴classification.config文件的位置,該文件定義規(guī)則類

-f snort.alert 告訴barnyard以連續(xù)方式運行時需要的Unfied統(tǒng)一文件的基本名字。snort在產生的文件后面會自動加一個unix時間的時間戳，基本名字就是去掉時間戳的文件名



這樣就可以連續(xù)實現把unfied的文件輸出到插件，本例也就是輸出到acid數據庫中



如果是單步模式

#barnyard -o -c /etc/barnyard.conf -d /var/log/snort

-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map

-p /etc/snort/classification.config -f snort.alert.時間戳



加參數-d是后臺運行的意思，這樣寫到acid的數據庫后，執(zhí)行完就回到shell界面下了。