1. Snort IDS dikonfigurasi pada virtual machine dengan interface jaringan eth0 dan eth1 yang diset sebagai bridge dan host-only.
2. Beberapa komponen prasyarat Snort seperti libpcap, PCRE, dan DAQ diinstalasi dari sumber daya.
3. File konfigurasi dan preprocessor dinamis Snort disalin dari folder tarball.
4. Aturan ICMP sederhana ditulis untuk menguji deteksi Snort yang akan menghasilkan peringatan saat melihat pesan echo request dan
1. 1 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Laporan Tugas Keamanan Jaringan 7
Snort IDS
Percobaan:
I. Perancangan
i. Konfigurasi
Jaringan :
1. Jaringan gateway : 192.168.0.1
2. Host OS IP : 192.168.0.100
3. Guest OS 1 IP eth0 (Bridge) : 192.168.0.101
Guest OS 1:
Pertama setting pada network adapter dengan menambahkan
interface lagi. Lalu setting kedua interface tersebut sebagai Bridge dan
Host-Only.
Kedua start virtual machine. Setelah itu pastikan jaringan eth0 sudah
mendapatkan ip dari koneksi bridge.
Setelah mendapatkan IP maka konfigurasi ip eth0 dan eth1 menjadi
static sesuai range jaringan Wifi. Dengan perintah nano
/etc/network/interfaces
Kemudian restart network dengan perintah
/etc/init.d/networking restart.
2. 2 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
ii. Instalasi Snort Pre-Requisites
Snort memiliki 4 pre-requisites utama :
a. pcap (libpcap-dev) tersedia di repository Ubuntu
b. PCRE (libpcre3-dev) tersedia di repository Ubuntu
c. Libdnet (libdumbnet-dev) tersedia di repository Ubuntu
d. DAQ (http://www.snort.org/downloads/) di compiled dari
source
Build essentials package
Pertama kita harus meng-install tools yang dibutuhkan untuk
membangun software, Gunakan bulid-essentials package
Setelah selesai, kita harus meng-install semua Snort Prequisities
yang tersedia di repository Ubuntu.
Buat Folder
Folder dibuat agar semua tarbals tersimpan di dalam satu tempat.
Perintah : mkdir snort_src
Data AcQuisition library
Snort DAQ memiliki beberapa pre-requisities yan harus di install
lebih dahulu.
Download dan Install DAQ
Download dan Install DAQ versi terbaru dari website Snort
Perintah :
:~# cd snort_src/
:~/snort_src# wget
https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
3. 3 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
:~/snort_src# tar -xvzf daq-2.0.6.tar.gz
:~/snort_src# cd daq-2.0.6
:~/snort_src/daq-2.0.6# ./configure
:~/snort_src/daq-2.0.6# ./configure && make && make
install
:~/snort_src/daq-2.0.6# cd
4. 4 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
iii. Instalasi Snort
Untuk meng-install Snort di Ubuntu, dibutuhkan satu pre-requisities
tambahan, yaitu : zlibg yang merupakan library compression.
• Library
Ada 3 library optional yang dapat meningkatkan fungsionalitas :
a. liblzma-dev yang menyediakan dekompresssion dari file.swf
(adobe flash),
b. openssl dan
c. libssl-dev yang menyediakan file signatures dari SHA dan
MD5
• Download Snort
Sekarang kita siap mendownload dan meng-install Snort. Opsi --
enable-sourcefire option memberikan Packet Performance
Monitoring (PPM), yang memperboleh kan kita untuk
memonitoring performa untuk rules dan pre-processors dan mem-
build Snort seperti yang dilakukan oleh team Snort.
Perintah :
:~# ldconfig
:~# cd snort_src/
:~/snort_src# wget
https://distfiles.macports.org/snort/snort-2.9.8.3.tar.gz
:~/snort_src# tar -xvzf snort-2.9.8.3.tar.gz
:~/snort_src# cd snort-2.9.8.3/
:~/snort_src/snort-2.9.8.3# ./configure --enable-sourcefire
&& make && make install
5. 5 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
:~/snort_src/snort-2.9.8.3# cd
• Updata Shared Libraries
Jalankan Command berikut (Jika ada error, Skip langkah ini) :
Perintah :
ln -s /usr/local/bin/snort /usr/sbin/snort
• Snort Version
iv. Konfigurasi Snort untuk Run pada Mode NIDS
Karena kita tidak ingin Snort berjalan sebagi Root, Kita perlu
membuan sebuah akun unprivillage dan grup untuk daemon.
Buat user dan grup snort.
Kita perlu membuat beberapa file dan direktori yang
dibutuhkan oleh Snort, lalu menge-set permissions pada file
tersebut. File configurasi dan rule ada di /etc/snort, Alerts
akan di tulis kedalam /var/log/snort, Compiled rules (.so
rules) akan disimpan di /usr/local/lib/snort dynamicrules.
Perintah :
!!! # Create the snort user and group:
:~# groupadd snort
:~# useradd snort -r -s /sbin/nologin -c SNORT_IDS -g
snort
!!! # Create the Snort directories:
:~# mkdir /etc/snort
:~# mkdir /etc/snort/rules
:~# mkdir /etc/snort/rules/iplists
:~# mkdir /etc/snort/preproc_rules
:~# mkdir /usr/local/lib/snort_dynamicrules
:~# mkdir /etc/snort/so_rules
!!! # Create some files that stores rules and ip lists :
6. 6 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
:~# touch /etc/snort/rules/iplists/black_list.rules
:~# touch /etc/snort/rules/iplists/white_list.rules
:~# touch /etc/snort/rules/local.rules
:~# touch /etc/snort/sid-msg.map
!!! # Create our logging directories:
:~# mkdir /var/log/snort
:~# mkdir /var/log/snort/archived_logs
!!! # Adjust permissions:
:~# chmod -R 5775 /etc/snort
:~# chmod -R 5775 /var/log/snort
:~# chmod -R 5775 /var/log/snort/archived_logs
:~# chmod -R 5775 /etc/snort/so_rules
:~# chmod -R 5775 /usr/local/lib/snort_dynamicrules
Ubah ownership pada dalam folder
Kita harus mengganti ownership dari file yang kita buat di atas
dan memastikan bahwa Snort dapat mengakses file tersebut :
Perintah :
!!! # Change Ownership on folders:
:~# chown -R snort:snort /etc/snort
:~# chown -R snort:snort /var/log/snort
:~# chown -R snort:snort
/usr/local/lib/snort_dynamicrules
Snort membutuhkan beberapa file konfigurasi dan kopian
preprocessors dynamic dari tarball Snort ke dalam folder
/etc/snort. File konfigurasi tersebut adalah :
a. classification.config
b. -file magic.conf
c. reference.config
d. snort.conf
e. threshold.conf
f. attribute table.dtd
g. gen-msg.map
h. unicode.map
Konfigurasi file dan dynamic prosesor
Untuk menyalin file konfigurasi dan preprocessors dynamic,
jalakan command berikut :
Perintah :
:~# cd
:~# cd snort_src/snort-2.9.8.3/etc/
:~/snort_src/snort-2.9.8.3/etc/# cp *.conf* /etc/snort
:~/snort_src/snort-2.9.8.3/etc/# cp *.map /etc/snort
:~/snort_src/snort-2.9.8.3/etc/# cp *.dtd /etc/snort
:~/snort_src/snort-2.9.8.3/etc/# cd
:~# cd snort_src/snort-2.9.8.3/src/dynamic-
preprocessors/build/usr/local/lib/snort_dynamicpreproces
sor/
:~./././# cp * /usr/local/lib/snort_dynamicpreprocessor/
:~./././# cd
7. 7 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Sekarang kita harus mengikuti layout direktori dan likasi file
sebagai berikut :
Snort binary file: /usr/local/bin/snort
Snort configuration file: /etc/snort/snort.conf
Snort log data directory: /var/log/snort
Snort rules directories: /etc/snort/rule
/etc/snort/so rules
/etc/snort/preproc rules
/usr/local/lib/snort
dynamicrules
Snort IP list directories: /etc/snort/rules/iplists
Snort dynamic preprocessors: /usr/local/lib/snort
dynamicpreprocessor/
Edit Main Konfigurasi Snort
Kita harus men-comment semua file rule individual yang
mereferensi ke file konfigurasi Snort. Kita akan menggukana
PulledPork untuk memanage ruleset yang mengkombinasikan
semua rule kedalam single file. Gunakan Command berikut :
Perintah :
:~# sed -i "s/include $RULE_PATH/#include
$RULE_PATH/" /etc/snort/snort.conf
Ubah beberapa pengaturan pada Snort
Kita akan menggati setting secara manual pada file snort.conf,
gunakan editor favorit mu :
Perintah :
nano -c /etc/snort/snort.conf
8. 8 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Ubah line berikut menyesuaikan dengan lingkungan mu :
Line 45, HOME_NET harus cocok dengan internal (friendly)
network milik anda.
HOME_NET : 192.168.0.101/24
File path pada Snort
Set file path seperti berikut pada snort.conf, mulai dari line ke
104 :
Perintah :
nano -c /etc/snort/snort.conf
Uji Coba Snort
Agar testing Snort berjalan dengan mudah, kita harus meng-
enable kan file local rule, dimana kita bisa menambahkan rule
yang bisa di alert oleh Snort. Un-Comment mulai dari line ke
546 sehingga tampak seperti di bawah :
Perintah :
nano -c /etc/snort/snort.conf
Setelah file konfigurasi siap, kira harus membuat Snort
memverifikasi apakah file tersebut valid dan semua fila terkait
yang di butuhkan benar.
Run Snort
Lakukan perintah di bawah dan pastikan hasilnya seperti
tampilan di bawah.
Perintah :
9. 9 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
snort -T -i eth0 -c /etc/snort/snort.conf
Hasil :
Nama Interface sudah berubah dan sistem nya spesifik. Dari
command diatas, kamu harus mereplace eth0 dengan nama
interface mu seperti yang terlihat saat kamu melakukan
command ifconfig.
Jangan lupa perhatikan error dan warning yang terjadi.
v. Menulis Aturan Sederhana untuk Uji Coba Deteksi Snort
Pada tahap ini, Snort tidak memiliki aturan yang dimuat (file aturan
yang dirujuk pada snort.conf kosong). Anda dapat memverifikasi
bahwa Snort belum memasukkan peraturan apapun jika Anda
menscrol ke atas dari output perintah sebelumnya. Untuk menguji
kemampuan deteksi Snort, mari buat aturan sederhana yang akan
menyebabkan Snort menghasilkan peringatan setiap kali Snort
melihat pesan ICMP "Echo request" atau "Echo reply", yang mudah
dibuat dengan utilitas ping di mana-mana (ini mempermudah
Pengujian aturan).
ICMP Alert
Lakukan perintah ini : /etc/snort/rules/local.rules:
Perintah :
:~# cd /etc/snort/rules/
:~/etc/snort/rules# nano -c local.rules
Barnyard2 tidak membaca meta-data tentang peringatan dari file
local.rules. Tanpa informasi ini, Barnyard2 tidak akan mengetahui
rincian tentang peraturan yang memicu peringatan tersebut, dan
akan menghasilkan kesalahan fatal saat menambahkan peraturan
baru dengan PulledPork (dilakukan pada langkah selanjutnya).
10. 10 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Untuk memastikan bahwa barnyard2 tahu bahwa aturan yang kami
buat dengan pengenal unik 10000001 memiliki pesan "ICMP Test
Detected", serta beberapa informasi lainnya. Kami menambahkan
baris berikut ke file /etc/snort/sid-msg.map.
Perintah:
:~/etc/snort/rules# cd ..
:~/etc/snort# nano -c sid-msg.map
Cd
Bila Anda tidak mengomentari baris 545 di atas (sertakan $
RULE_PATH / local.rules) Anda memberi tahu Snort bahwa file
local.rules harus dimuat oleh Snort. Ketika Snort memuat file itu
saat start-up, ia akan melihat aturan yang Anda buat, dan
menggunakan aturan itu pada semua lalu lintas yang dilihat oleh
antarmuka. Dalam kasus ini, ketika kami membuat peraturan, kami
memberi tahu Snort bahwa seharusnya menghasilkan peringatan
saat melihat ping ICMP.
Ubah Konfigurasi Snort
Lakukan pengujian ulang setelah melakukan perubahan pada Snort
:
Perintah:
:~/etc/snort# cd
:~# snort -T -c /etc/snort/snort.conf -i eth0
Kali ini jika Anda menggulir ke atas melalui output, Anda akan
menemukan satu aturan itu (yang kami buat di local.rules, dan
dimuat oleh perintah include di snort.conf) telah dimuat:
Mode NIDS
Sekarang kita tahu bahwa Snort benar-benar menerapkan
peraturan dan konfigurasi kita, kita bisa mulai mendengus dalam
11. 11 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
mode NIDS, dan memberitahukannya untuk mengeluarkan
peringatan apa pun ke konsol. Kami akan menjalankan Snort dari
command line, menggunakan flag seperti di bawah ini :
Perintah :
:~# /usr/local/bin/snort –A console -q -u snort -g snort –
c /etc/snort/snort.conf -i eth0
Ketika Anda menjalankan baris ini, Anda tidak akan melihat output
apa pun, namun Snort sedang berjalan, memproses semua paket
yang sampai pada et0 (atau antarmuka mana pun yang Anda
tentukan dengan flag -i), membandingkannya dengan aturan yang
telah dimuatnya (dalam hal ini Kasus aturan ICMP Ping tunggal
kami), dan kemudian akan mencetak semua peringatan yang
dihasilkan saat sebuah paket sesuai dengan peraturan kami ke
console.
Ping
Dari komputer lain, ping alamat IP eth0 di komputer Snort (atau
ganti ping dari host Snort ke komputer lain, atau eth0 sendiri, tapi
bukan antarmuka loopback), dan Anda akan melihat output konsol
serupa dengan apa yang ditampilkan di bawah ini. (Pada contoh di
bawah ini, server Snort mendengarkan eth0 dengan dan alamat IP
192.168.0.102, dan komputer yang menghasilkan ping adalah
192.168.0.100).
Ping lakukan pada IP eth0 yaitu : 192.168.0.102
Hasil nya :
Gunakan ctrl-c untuk menghentikan Snort agar tidak berjalan.
Perhatikan bahwa Snort telah menyimpan salinan informasi ini di /
var / log / snort, dengan nama snort.log.nnnnnnnnn (jumlahnya
12. 12 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
mungkin berbeda). Pada titik ini Snort berjalan dengan benar
dalam mode NIDS dan menghasilkan peringatan.
vi. Instalasi Barnyard2
Instalasi MySQL
Kami akan mengkonfigurasi Snort untuk menampilkan acara dalam
bentuk biner ke folder, dan kemudian membuat Barnyard2
membaca kejadian tersebut secara asinkron dan memasukkannya ke
basis data MySQL kami.
Instalasi MySQL, kita akan menggunakan apt dengan mysql
repository. Pertama, tambahkan sumber repositori mysql untuk
mendapatkan versi MySQL terbaru.
Perintah:
:~# wget http://dev.mysql.com/get/mysql-apt-config_0.7.3-
1_all.deb
:~# dpkg -i mysql-apt-config_0.7.3-1_all.deb
Saat menambahkan source repository, Anda perlu mengatur versi
MySQL yang akan diinstal dan beberapa pilihan lainnya.
Dibutuhkan update beberapa file baru dari apt source.
Perintah :
:~# apt-get update
Memasuki tahap instalasi, Selain menginstal mysql-server kita juga
membutuhkan beberapa library yang berguna untuk mysql.
Perintah:
:~# apt-get install --force-yes mysql-server libmysqlclient-dev
mysql-client autoconf libtool
Selanjutnya, Set password untuk root user dari database mysql. Root
password : jarkom123.
13. 13 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Instalasi akan meminta Anda untuk membuat password root mysql
user. Untuk contoh di bawah ini, kita akan menggunakan password
jarkom123. Anda harus memilih sesuatu yang berbeda dan lebih
aman, dan menyimpannya dengan aman. Kami juga akan membuat
akun pengguna MySQL yang mendengus, dan kata sandi untuk akun
itu adalah kata sandi jarkom123, perhatikan perbedaan antara dua
kata kunci ini.
Unified2 Output
Kita perlu memberitahu mendengus bahwa itu harus mengeluarkan
peringatan itu dalam format biner (ke file) yang dapat diproses oleh
Barnyard2. Untuk melakukannya, edit file /etc/snort/snort.conf, dan
setelah baris 521 (baris komentar dimulai dengan tanda hash)
tambahkan baris berikut:
Perintah :
:~# cd /etc/snort/
:~/etc/snort# nano -c snort.conf
Download dan install Baryard2
Sekarang download dan instal rilis Barnyard2 2.1.14 336:
Perintah :
:~#cd snort_src/
:~/snort_src# wget
https://github.com/firnsy/barnyard2/archive/7254c247023922
88fe6be948f88afb74040f6dc9.tar.gz -O barnyard2-2-1.14-
336.tar.gz
:~/snort_src# tar -zxvf barnyard2-2-1.14-336.tar.gz
:~/snort_src# mv barnyard2-
7254c24702392288fe6be948f88afb74040f6dc9 barnyard2-2-1.14-
336
:~/snort_src# cd barnyard2-2-1.14-336
:~/snort_src/barnyard2-2-1.14-336# autoreconf -fvi -I ./m4
14. 14 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Library
Barnyard2 membutuhkan akses ke perpustakaan dnet.h. Namun,
Barnyard2 mengharapkan nama file yang berbeda untuk
perpustakaan ini. Buat soft link dari dnet.h ke dubmnet.h sehingga
tidak ada masalah:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# ln -s
/usr/include/dumbnet.h /usr/include/dnet.h
:~/snort_src/barnyard2-2-1.14-336# ldconfig
Konfigurasi MySQL
Bergantung pada versi OS Anda (x86 atau x86 64), Anda perlu
mengarahkan install ke perpustakaan MySQL yang benar. Jalankan
salah satu dari dua baris berikut untuk mengkonfigurasi proses
pembuatan, tergantung pada arsitektur Anda (jika Anda tidak yakin
dengan arsitektur yang Anda jalankan, gunakan perintah uname -m:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# arch
!!! # Choose ONE of these two commands to run
:~/snort_src/barnyard2-2-1.14-336# ./configure --
with-mysql --with-mysql-
libraries=/usr/lib/x86_64-linux-gnu
:~/snort_src/barnyard2-2-1.14-336# ./configure --
with-mysql --with-mysql-libraries=/usr/lib/i386-
linux-gnu
Arsitektur i686 maka yang dipilih adalah perintah kedua.
15. 15 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Install Barnyard2
Sekarang selesaikan dan install Barnyard2 ke /usr/local/bin/barnyard2:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# make
:~/snort_src/barnyard2-2-1.14-336# make install
CATATAN: Jika Anda mendapatkan kesalahan dnet.h pada tahap
pembuatan, Anda mungkin perlu memberi tahu sistem tempat file
dnet.h berada. Jalankan perintah berikut sebelum menjalankan make
lagi (ini kadang-kadang dilaporkan sebagai masalah):Copy dan Paste
Beberapa File yang dibutuhkan Barnyard2 untuk dijalankan:
Perintah :
:~/snort_src/barnyard2-2-1.14-336# cp etc/barnyard2.conf
/etc/snort
!!# the /var/log/barnyard2 folder is never used or
referenced
!!# but barnyard2 will error without it existing
16. 16 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
:~/snort_src/barnyard2-2-1.14-336# mkdir /var/log/barnyard2
:~/snort_src/barnyard2-2-1.14-336# chown snort.snort
/var/log/barnyard2
:~/snort_src/barnyard2-2-1.14-336# touch
/var/log/snort/barnyard2.waldo
:~/snort_src/barnyard2-2-1.14-336# chown snort.snort
/var/log/snort/barnyard2.waldo
:~/snort_src/barnyard2-2-1.14-336# cd
Buat Database
Karena yang akan dilakukan Barnyard2 adalah menyimpan alert ke
database MySQL, kita perlu membuat database itu, dan juga user
'snort' MySQL untuk mengakses database itu. Jalankan perintah
berikut untuk membuat database dan pengguna MySQL. Saat diminta
memasukkan kata sandi, gunakan 'jarkom123'. Anda juga akan
mengatur password user MySQL snort di perintah mysql keempat,
jadi ubah juga di sana.
Perintah :
:~# mysql -u root –p
mysql> create database snort;
mysql> use snort;
mysql> source ~/snort_src/barnyard2-2-1.14-
336/schemas/create_mysql;
mysql> CREATE USER 'snort' IDENTIFIED BY 'jarkom123';
mysql> grant create, insert, select, delete, update on snort.*
to snort;
17. 17 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
mysql> exit
Koneksi ke Database MySQL
Kita perlu mengatur Barnyard2 agar tersambung ke database
MySQL.
Edit /etc/snort/barnyard2.conf, Dan di akhir file tambahkan baris
ini (ubah kata sandi dengan yang Anda buat di atas): Line 71, 75 and
348
config interface: eth0
config alert_with_interface_name
output database: alert, mysql, user=snort password=jarkom123
dbname=snort host=localhost
Perintah :
:~# cd /etc/snort
:~/etc/snort# nano -c barnyard2.conf
Ubah Permission
Karena kata sandi disimpan dalam teks mentah di file barnyard2.conf,
kita harus mencegah pengguna lain membacanya:
Perintah :
:~/etc/snort# cd
:~# chmod o-r /etc/snort/barnyard2.conf
18. 18 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Run Snort pada Mode Alert
Jalankan Snort dalam mode alert (perintah yang kita jalankan di
bawah ini adalah bagaimana Snort biasanya dijalankan saat kita
mengaturnya sebagai daemon, kecuali kita tidak menggunakan flag -D
yang menyebabkannya dijalankan sebagai daemon).
Perintah :
:~# /usr/local/bin/snort -q -u snort -g snort -c
/etc/snort/snort.conf -i eth0
Ping Interface eth0
Ping interface eth0 dari komputer lain, Anda tidak akan melihat
output di layar karena sebelumnya Snort tidak dimulai dengan
command -A. Setelah ping berhenti, ketik ctrl-c untuk menghentikan
Snort. Anda harus melihat file baru di direktori / var / log / snort
dengan nama berikut: snort.u2.nnnnnnnnnn (jumlahnya akan
berbeda karena mereka didasarkan pada waktu sekarang.
Snort.log.nnnnnnnnnn adalah file output yang kita Dibuat saat kita
pertama kali menguji Snort. Anda bisa menghapus file itu kalau mau:
Perintah :
:~# cd
:~# cd /var/log/snort
:~/var/log/snort# ls -l /var/log/snort/
Hasil :
Kita sekarang menjalankan Barnyard2 dan memberitahukannya
untuk memproses kejadian di snort.u2.nnnnnnnnnn dan
memasukkannya ke dalam database Snort.
Run Barnyard2
Perintah :
:~/var/log/snort# cd
:~# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -
f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u
snort
19. 19 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I
Setelah Anda menekan Ctrl-c untuk menghentikan barnyard2, ia akan
mencetak informasi tentang rekaman yang diolahnya.
Cek Database MySQL
Kami sekarang ingin memeriksa database MySQL untuk melihat
apakah Barnyard2 menulis eventnya.
Perintah :
:~# mysql -u snort -p -D snort -e "select count(*) from event"
Hasil :
Dan dapat dilihat bahawa record database telah bertambah menjadi
sebanyak 46 data.