1. Dokumen tersebut merangkum konfigurasi keamanan jaringan dengan menggunakan Snort sebagai Network Intrusion Detection System (NIDS). Langkah-langkah yang dijelaskan meliputi instalasi prerequisite Snort, konfigurasi file dan direktori, penulisan aturan deteksi, dan pengujian Snort dalam mode NIDS.
1. 1 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Nama : Galuh Maghfira
Kelas : 1 D4 LJ IT
NRP : 2110 165 013
--------------------------------------------------------------------------------------------------------------------------------------
Keamanan Jaringan
--------------------------------------------------------------------------------------------------------------------------------------
A. PERANCANGAN
1. Konfigurasi
- Jaringan :
a. Jaringan Gateway : 192.168.0.1
b. Host OS IP : 192.168.0.100
c. Guest OS 1 IP eth0 (bridge) : 192.168.0.101
- Guest OS 1
Pertama setting pada network adapter dengan menambahkan interface lagi. Lalu
setting kedua interface tersebut sebagai Bridge dan Host-Only.
Kedua start virtual machine. Setelah itu pastikan jaringan eth0 sudah mendapatkan
ip dari koneksi bridge.
Setelah mendapatkan IP maka konfigurasi ip eth0 dan eth1 menjadi static sesuai
range jaringan Wifi. Dengan perintah nano /etc/network/interfaces
Kemudian restart network dengan perintah /etc/init.d/networking restart.
2. 2 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
2. Instalasi Snort Pre-Requisites
Snort memiliki 4 pre-requisites utama :
a. pcap (libpcap-dev) tersedia di repository Ubuntu
b. PCRE (libpcre3-dev) tersedia di repository Ubuntu
c. Libdnet (libdumbnet-dev) tersedia di repository Ubuntu
d. DAQ (http://www.snort.org/downloads/) di compiled dari source
• Build Essentials Package
Pertama kita harus meng-install tools yang dibutuhkan untuk membangun software,
Gunakan bulid-essentials package
Setelah selesai, kita harus meng-install semua Snort Prequisities yang tersedia di
repository Ubuntu.
• Buat Folder
Folder dibuat agar semua tarbals tersimpan di dalam satu tempat.
Perintah : mkdir snort_src
• Data AcQuistion Library
Snort DAQ memiliki beberapa pre-requisities yan harus di install lebih dahulu.
• Download dan Install DAQ
Download dan Install DAQ versi terbaru dari website Snort
Perintah :
:~# cd snort_src/
:~/snort_src# wget
https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
3. 3 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
:~/snort_src# tar -xvzf daq-2.0.6.tar.gz
:~/snort_src# cd daq-2.0.6
:~/snort_src/daq-2.0.6# ./configure
:~/snort_src/daq-2.0.6# ./configure && make && make
install
:~/snort_src/daq-2.0.6# cd
4. 4 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
3. Instalasi Snort
Untuk meng-install Snort di Ubuntu, dibutuhkan satu pre-requisities tambahan, yaitu :
zlibg yang merupakan library compression.
• Library
Ada 3 library optional yang dapat meningkatkan fungsionalitas :
a. liblzma-dev yang menyediakan dekompresssion dari file.swf (adobe flash),
b. openssl
c. libssl-dev yang menyediakan file signatures dari SHA dan MD5
• Download Snort
Sekarang kita siap mendownload dan meng-install Snort. Opsi --enable-sourcefire
option memberikan Packet Performance Monitoring (PPM), yang memperboleh kan
kita untuk memonitoring performa untuk rules dan pre-processors dan mem-build
Snort seperti yang dilakukan oleh team Snort.
Perintah :
:~# ldconfig
:~# cd snort_src/
:~/snort_src# wget
https://distfiles.macports.org/snort/snort-2.9.8.3.tar.gz
:~/snort_src# tar -xvzf snort-2.9.8.3.tar.gz
:~/snort_src# cd snort-2.9.8.3/
:~/snort_src/snort-2.9.8.3# ./configure --enable-sourcefire
&& make && make install
:~/snort_src/snort-2.9.8.3# cd
5. 5 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
• Updata Shared libraries
Jalankan Command berikut (Jika ada error, Skip langkah ini) :
Perintah : ln -s /usr/local/bin/snort /usr/sbin/snort
• Snort Version
4. Konfigurasi Snort untuk Run pada Mode NIDS
Karena kita tidak ingin Snort berjalan sebagi Root, Kita perlu membuan sebuah akun
unprivillage dan grup untuk daemon.
• Buat User dan Grup Snort
Kita perlu membuat beberapa file dan direktori yang dibutuhkan oleh Snort, lalu
menge-set permissions pada file tersebut. File configurasi dan rule ada di /etc/snort,
Alerts akan di tulis kedalam /var/log/snort, Compiled rules (.so rules) akan
disimpan di /usr/local/lib/snort dynamicrules.
Perintah :
!!! # Create the snort user and group:
:~# groupadd snort
:~# useradd snort -r -s /sbin/nologin -c SNORT_IDS -g
snort
!!! # Create the Snort directories:
:~# mkdir /etc/snort
:~# mkdir /etc/snort/rules
:~# mkdir /etc/snort/rules/iplists
:~# mkdir /etc/snort/preproc_rules
:~# mkdir /usr/local/lib/snort_dynamicrules
:~# mkdir /etc/snort/so_rules
!!! # Create some files that stores rules and ip lists :
:~# touch /etc/snort/rules/iplists/black_list.rules
:~# touch /etc/snort/rules/iplists/white_list.rules
:~# touch /etc/snort/rules/local.rules
:~# touch /etc/snort/sid-msg.map
!!! # Create our logging directories:
:~# mkdir /var/log/snort
:~# mkdir /var/log/snort/archived_logs
!!! # Adjust permissions:
:~# chmod -R 5775 /etc/snort
:~# chmod -R 5775 /var/log/snort
:~# chmod -R 5775 /var/log/snort/archived_logs
:~# chmod -R 5775 /etc/snort/so_rules
:~# chmod -R 5775 /usr/local/lib/snort_dynamicrules
6. 6 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
• Ubah Ownership dalam Folder
Kita harus mengganti ownership dari file yang kita buat di atas dan memastikan
bahwa Snort dapat mengakses file tersebut :
Perintah :
!!! # Change Ownership on folders:
:~# chown -R snort:snort /etc/snort
:~# chown -R snort:snort /var/log/snort
:~# chown -R snort:snort
/usr/local/lib/snort_dynamicrules
Snort membutuhkan beberapa file konfigurasi dan kopian preprocessors dynamic
dari tarball Snort ke dalam folder /etc/snort. File konfigurasi tersebut adalah :
a. classification.config
b. -file magic.conf
c. reference.config
d. snort.conf
e. threshold.conf
f. attribute table.dtd
g. gen-msg.map
h. unicode.map
• Konfigurasi File dan Dynamic Processor
Untuk menyalin file konfigurasi dan preprocessors dynamic, jalakan command
berikut :
Perintah :
:~# cd
:~# cd snort_src/snort-2.9.8.3/etc/
:~/snort_src/snort-2.9.8.3/etc/# cp *.conf* /etc/snort
:~/snort_src/snort-2.9.8.3/etc/# cp *.map /etc/snort
:~/snort_src/snort-2.9.8.3/etc/# cp *.dtd /etc/snort
:~/snort_src/snort-2.9.8.3/etc/# cd
:~# cd snort_src/snort-2.9.8.3/src/dynamic-
preprocessors/build/usr/local/lib/snort_dynamicpreproces
sor/
:~./././# cp * /usr/local/lib/snort_dynamicpreprocessor/
:~./././# cd
Sekarang kita harus mengikuti layout direktori dan likasi file sebagai berikut :
Snort binary file: /usr/local/bin/snort
Snort configuration file: /etc/snort/snort.conf
Snort log data directory: /var/log/snort
Snort rules directories: /etc/snort/rule
/etc/snort/so rules
/etc/snort/preproc rules
/usr/local/lib/snort dynamicrules
Snort IP list directories: /etc/snort/rules/iplists
Snort dynamic preprocessors: /usr/local/lib/snort
dynamicpreprocessor/
• Edit Main Konfigurasi Snort
Kita harus men-comment semua file rule individual yang mereferensi ke file
konfigurasi Snort. Kita akan menggukana PulledPork untuk memanage ruleset yang
mengkombinasikan semua rule kedalam single file. Gunakan Command berikut :
Perintah :
:~# sed -i "s/include $RULE_PATH/#include $RULE_PATH/"
/etc/snort/snort.conf
• Ubah beberapa pengaturan pada Snort
7. 7 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Kita akan menggati setting secara manual pada file snort.conf, gunakan editor
favorit mu :
Perintah : nano -c /etc/snort/snort.conf
Ubah line berikut menyesuaikan dengan lingkungan mu :
Line 45, HOME_NET harus cocok dengan internal (friendly) network milik anda.
HOME_NET : 192.168.0.101/24
• File path pada Snort
Set file path seperti berikut pada snort.conf, mulai dari line ke 104 :
Perintah : nano -c /etc/snort/snort.conf
• Uji Coba Snort
Agar testing Snort berjalan dengan mudah, kita harus meng-enable kan file local
rule, dimana kita bisa menambahkan rule yang bisa di alert oleh Snort. Un-Comment
mulai dari line ke 546 sehingga tampak seperti di bawah :
Perintah : nano -c /etc/snort/snort.conf
8. 8 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Setelah file konfigurasi siap, kira harus membuat Snort memverifikasi apakah file
tersebut valid dan semua fila terkait yang di butuhkan benar.
• Run Snort
Lakukan perintah di bawah dan pastikan hasilnya seperti tampilan di bawah.
Perintah : snort -T -i eth0 -c /etc/snort/snort.conf
Hasil :
Nama Interface sudah berubah dan sistem nya spesifik. Dari command diatas, kamu
harus mereplace eth0 dengan nama interface mu seperti yang terlihat saat kamu
melakukan command ifconfig.
Jangan lupa perhatikan error dan warning yang terjadi.
5. Menulis Aturan Sederhana untuk Uji Coba Deteksi Snort
Pada tahap ini, Snort tidak memiliki aturan yang dimuat (file aturan yang dirujuk pada
snort.conf kosong). Anda dapat memverifikasi bahwa Snort belum memasukkan
peraturan apapun jika Anda menscrol ke atas dari output perintah sebelumnya. Untuk
menguji kemampuan deteksi Snort, mari buat aturan sederhana yang akan
menyebabkan Snort menghasilkan peringatan setiap kali Snort melihat pesan ICMP
"Echo request" atau "Echo reply", yang mudah dibuat dengan utilitas ping di mana-mana
(ini mempermudah Pengujian aturan).
• ICMP Alert
Lakukan perintah ini : /etc/snort/rules/local.rules:
Perintah :
:~# cd /etc/snort/rules/
:~/etc/snort/rules# nano -c local.rules
9. 9 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Barnyard2 tidak membaca meta-data tentang peringatan dari file local.rules. Tanpa
informasi ini, Barnyard2 tidak akan mengetahui rincian tentang peraturan yang
memicu peringatan tersebut, dan akan menghasilkan kesalahan fatal saat
menambahkan peraturan baru dengan PulledPork (dilakukan pada langkah
selanjutnya).
Untuk memastikan bahwa barnyard2 tahu bahwa aturan yang kami buat dengan
pengenal unik 10000001 memiliki pesan "ICMP Test Detected", serta beberapa
informasi lainnya. Kami menambahkan baris berikut ke file /etc/snort/sid-msg.map.
Perintah :
:~/etc/snort/rules# cd ..
:~/etc/snort# nano -c sid-msg.map
Cd
Bila Anda tidak mengomentari baris 545 di atas (sertakan $ RULE_PATH / local.rules)
Anda memberi tahu Snort bahwa file local.rules harus dimuat oleh Snort. Ketika
Snort memuat file itu saat start-up, ia akan melihat aturan yang Anda buat, dan
menggunakan aturan itu pada semua lalu lintas yang dilihat oleh antarmuka. Dalam
kasus ini, ketika kami membuat peraturan, kami memberi tahu Snort bahwa
seharusnya menghasilkan peringatan saat melihat ping ICMP.
• Ubah Konfigurasi Snort
Lakukan pengujian ulang setelah melakukan perubahan pada Snort :
Perintah :
:~/etc/snort# cd
:~# snort -T -c /etc/snort/snort.conf -i eth0
Kali ini jika Anda menggulir ke atas melalui output, Anda akan menemukan satu
aturan itu (yang kami buat di local.rules, dan dimuat oleh perintah include di
snort.conf) telah dimuat :
10. 10 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
• Mode NIDS
Sekarang kita tahu bahwa Snort benar-benar menerapkan peraturan dan konfigurasi
kita, kita bisa mulai mendengus dalam mode NIDS, dan memberitahukannya untuk
mengeluarkan peringatan apa pun ke konsol. Kami akan menjalankan Snort dari
command line, menggunakan flag seperti di bawah ini :
Perintah :
:~# /usr/local/bin/snort –A console -q -u snort -g snort –c
/etc/snort/snort.conf -i eth0
Ketika Anda menjalankan baris ini, Anda tidak akan melihat output apa pun, namun
Snort sedang berjalan, memproses semua paket yang sampai pada et0 (atau
antarmuka mana pun yang Anda tentukan dengan flag -i), membandingkannya
dengan aturan yang telah dimuatnya (dalam hal ini Kasus aturan ICMP Ping tunggal
kami), dan kemudian akan mencetak semua peringatan yang dihasilkan saat sebuah
paket sesuai dengan peraturan kami ke console.
• PING
Dari komputer lain, ping alamat IP eth0 di komputer Snort (atau ganti ping dari host
Snort ke komputer lain, atau eth0 sendiri, tapi bukan antarmuka loopback), dan
Anda akan melihat output konsol serupa dengan apa yang ditampilkan di bawah ini.
(Pada contoh di bawah ini, server Snort mendengarkan eth0 dengan dan alamat IP
192.168.0.102, dan komputer yang menghasilkan ping adalah 192.168.0.100).
Ping lakukan pada IP eth0 yaitu : 192.168.0.102
Hasil nya :
Gunakan ctrl-c untuk menghentikan Snort agar tidak berjalan.
Perhatikan bahwa Snort telah menyimpan salinan informasi ini di / var / log / snort,
dengan nama snort.log.nnnnnnnnn (jumlahnya mungkin berbeda). Pada titik ini
Snort berjalan dengan benar dalam mode NIDS dan menghasilkan peringatan.
11. 11 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
6. Instalasi Barnyard2
• Instalasi MySQL
Kami akan mengkonfigurasi Snort untuk menampilkan acara dalam bentuk biner ke
folder, dan kemudian membuat Barnyard2 membaca kejadian tersebut secara
asinkron dan memasukkannya ke basis data MySQL kami.
Instalasi MySQL, kita akan menggunakan apt dengan mysql repository. Pertama,
tambahkan sumber repositori mysql untuk mendapatkan versi MySQL terbaru.
Perintah:
:~# wget http://dev.mysql.com/get/mysql-apt-config_0.7.3-
1_all.deb
:~# dpkg -i mysql-apt-config_0.7.3-1_all.deb
Saat menambahkan source repository, Anda perlu mengatur versi MySQL yang akan
diinstal dan beberapa pilihan lainnya.
Dibutuhkan update beberapa file baru dari apt source.
Perintah :
:~# apt-get update
Memasuki tahap instalasi, Selain menginstal mysql-server kita juga membutuhkan
beberapa library yang berguna untuk mysql.
Perintah :
:~# apt-get install --force-yes mysql-server libmysqlclient-dev
mysql-client autoconf libtool
Selanjutnya, Set password untuk root user dari database mysql. Root password :
jarkom123.
12. 12 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Instalasi akan meminta Anda untuk membuat password root mysql user. Untuk
contoh di bawah ini, kita akan menggunakan password jarkom123. Anda harus
memilih sesuatu yang berbeda dan lebih aman, dan menyimpannya dengan aman.
Kami juga akan membuat akun pengguna MySQL yang mendengus, dan kata sandi
untuk akun itu adalah kata sandi jarkom123, perhatikan perbedaan antara dua kata
kunci ini.
• Unified2 Output
Kita perlu memberitahu mendengus bahwa itu harus mengeluarkan peringatan itu
dalam format biner (ke file) yang dapat diproses oleh Barnyard2. Untuk
melakukannya, edit file /etc/snort/snort.conf, dan setelah baris 521 (baris komentar
dimulai dengan tanda hash) tambahkan baris berikut:
Perintah :
:~# cd /etc/snort/
:~/etc/snort# nano -c snort.conf
• Download dan Install Baryard2
Sekarang download dan instal rilis Barnyard2 2.1.14 336:
Perintah :
:~#cd snort_src/
:~/snort_src# wget
https://github.com/firnsy/barnyard2/archive/7254c247023922
88fe6be948f88afb74040f6dc9.tar.gz -O barnyard2-2-1.14-
336.tar.gz
:~/snort_src# tar -zxvf barnyard2-2-1.14-336.tar.gz
:~/snort_src# mv barnyard2-
7254c24702392288fe6be948f88afb74040f6dc9 barnyard2-2-1.14-
336
:~/snort_src# cd barnyard2-2-1.14-336
:~/snort_src/barnyard2-2-1.14-336# autoreconf -fvi -I ./m4
• Library
13. 13 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Barnyard2 membutuhkan akses ke perpustakaan dnet.h. Namun, Barnyard2
mengharapkan nama file yang berbeda untuk perpustakaan ini. Buat soft link dari
dnet.h ke dubmnet.h sehingga tidak ada masalah:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# ln -s
/usr/include/dumbnet.h /usr/include/dnet.h
:~/snort_src/barnyard2-2-1.14-336# ldconfig
• Konfigurasi MySQL
Bergantung pada versi OS Anda (x86 atau x86 64), Anda perlu mengarahkan install
ke perpustakaan MySQL yang benar. Jalankan salah satu dari dua baris berikut untuk
mengkonfigurasi proses pembuatan, tergantung pada arsitektur Anda (jika Anda
tidak yakin dengan arsitektur yang Anda jalankan, gunakan perintah uname -m:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# arch
!!! # Choose ONE of these two commands to run
:~/snort_src/barnyard2-2-1.14-336# ./configure --with-mysql --
with-mysql-libraries=/usr/lib/x86_64-linux-gnu
:~/snort_src/barnyard2-2-1.14-336# ./configure --with-mysql --
with-mysql-libraries=/usr/lib/i386-linux-gnu
Arsitektur i686 maka yang dipilih adalah perintah kedua.
• Install Barnyard2
Sekarang selesaikan dan install Barnyard2 ke /usr/local/bin/barnyard2:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# make
:~/snort_src/barnyard2-2-1.14-336# make install
14. 14 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Note : Jika Anda mendapatkan kesalahan dnet.h pada tahap pembuatan, Anda mungkin
perlu memberi tahu sistem tempat file dnet.h berada. Jalankan perintah berikut sebelum
menjalankan make lagi (ini kadang-kadang dilaporkan sebagai masalah):Copy dan Paste
Beberapa File yang dibutuhkan Barnyard2 untuk dijalankan:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# cp etc/barnyard2.conf
/etc/snort
!!# the /var/log/barnyard2 folder is never used or
referenced
!!# but barnyard2 will error without it existing
:~/snort_src/barnyard2-2-1.14-336# mkdir /var/log/barnyard2
:~/snort_src/barnyard2-2-1.14-336# chown snort.snort
/var/log/barnyard2
:~/snort_src/barnyard2-2-1.14-336# touch
/var/log/snort/barnyard2.waldo
:~/snort_src/barnyard2-2-1.14-336# chown snort.snort
/var/log/snort/barnyard2.waldo
:~/snort_src/barnyard2-2-1.14-336# cd
• Buat Database
Karena yang akan dilakukan Barnyard2 adalah menyimpan alert ke database
MySQL, kita perlu membuat database itu, dan juga user 'snort' MySQL untuk
mengakses database itu. Jalankan perintah berikut untuk membuat database dan
pengguna MySQL. Saat diminta memasukkan kata sandi, gunakan 'jarkom123'. Anda
juga akan mengatur password user MySQL snort di perintah mysql keempat, jadi
ubah juga di sana.
Perintah :
:~# mysql -u root –p
mysql> create database snort;
15. 15 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
mysql> use snort;
mysql> source ~/snort_src/barnyard2-2-1.14
336/schemas/create_mysql;
mysql> CREATE USER 'snort' IDENTIFIED BY 'jarkom123';
mysql> grant create, insert, select, delete, update on snort.*
to snort;
mysql> exit
• Koneksi ke Database MySQL
Kita perlu mengatur Barnyard2 agar tersambung ke database MySQL.
Edit /etc/snort/barnyard2.conf, Dan di akhir file tambahkan baris ini (ubah kata
sandi dengan yang Anda buat di atas): Line 71, 75 and 348
config interface: eth0
config alert_with_interface_name
output database: alert, mysql, user=snort password=jarkom123
dbname=snort host=localhost
Perintah :
:~# cd /etc/snort
:~/etc/snort# nano -c barnyard2.conf
16. 16 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
• Ubah Permission
Karena kata sandi disimpan dalam teks mentah di file barnyard2.conf, kita harus
mencegah pengguna lain membacanya:
Perintah :
:~/etc/snort# cd
:~# chmod o-r /etc/snort/barnyard2.conf
• Run Snort pada Mode Alert
Jalankan Snort dalam mode alert (perintah yang kita jalankan di bawah ini adalah
bagaimana Snort biasanya dijalankan saat kita mengaturnya sebagai daemon,
kecuali kita tidak menggunakan flag -D yang menyebabkannya dijalankan sebagai
daemon).
Perintah :
:~# /usr/local/bin/snort -q -u snort -g snort -c
/etc/snort/snort.conf -i eth0
• PING Interface eth0
Ping interface eth0 dari komputer lain, Anda tidak akan melihat output di layar
karena sebelumnya Snort tidak dimulai dengan command -A. Setelah ping berhenti,
ketik ctrl-c untuk menghentikan Snort. Anda harus melihat file baru di direktori / var
/ log / snort dengan nama berikut: snort.u2.nnnnnnnnnn (jumlahnya akan berbeda
karena mereka didasarkan pada waktu sekarang. Snort.log.nnnnnnnnnn adalah file
output yang kita Dibuat saat kita pertama kali menguji Snort. Anda bisa menghapus
file itu kalau mau:
Perintah :
:~# cd
:~# cd /var/log/snort
:~/var/log/snort# ls -l /var/log/snort/
Hasil :
17. 17 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Kita sekarang menjalankan Barnyard2 dan memberitahukannya untuk memproses
kejadian di snort.u2.nnnnnnnnnn dan memasukkannya ke dalam database Snort.
• Run Barnyard2
Perintah :
:~/var/log/snort# cd
:~# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -
f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u snort
Setelah Anda menekan Ctrl-c untuk menghentikan barnyard2, ia akan mencetak
informasi tentang rekaman yang diolahnya.
• Cek Database MySQL
Kami sekarang ingin memeriksa database MySQL untuk melihat apakah Barnyard2
menulis eventnya.
Perintah :
:~# mysql -u snort -p -D snort -e "select count(*) from event"
Hasil :
18. 18 | G a l u h M a g h f i r a – 2 1 1 0 1 6 5 0 1 3 – K e a m a n a n J a r i n g a n
Dan dapat dilihat bahwa record database telah bertambah menjadi sebanyak 46
data.