Snort. Enviado log a base datos mysql.

Publicado el 29 abril, 2008 por Alfon

Fruto de algún comentario y correos voy a tratar en este artículo la configuración, de forma muy sencilla, de Snort para el envío de las alertas a una base de datos, en este caso MySql. Crearemos la base de datos y toda la configuración necesaria para la comunicación entre Snort y MySql.

Hemos instalado Mysql, creado la contraseña de root.

Creación de la base de datos snort.

mysql -u root -p

> create database snort;

> exit

Ahora vamos a ejecutar el script create_mysql para crear las tablas que serán usadas por snort:

mysql -u root -p -D snort < c:\Snort\schemas\create_mysql
Enter password: **************

mysql -u root -p
Enter password: **************

Otorgamos permisos:

> grant insert,select,update,create,delete on snort.* to snort@localhost identified by ‘snortpass’;

>exit

Comprobamos que todo está correcto y se crearon las tablas:

mysql -u snort -p
Enter password: *********

> use snort

> show tables;

+——————+
| Tables_in_snort |
+——————+
| data |
| detail |
| encoding |
| event |
| icmphdr |
| iphdr |
| opt |
| reference |
| reference_system |
| schema |
| sensor |
| sig_class |
| sig_reference |
| signature |
| tcphdr |
| udphdr |
+——————+
16 rows in set (0.00 sec)

Configuración de Snort. Archivo snort.conf

La parte del fichero snort.conf correspondiente a la configuración de base de datos es:

# database: log to a variety of databases
# —————————————
# See the README.database file for more information about configuring
# and using this plugin.
#
# output database: log, mysql, user=root password=test dbname=db host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
# output database: log, oracle, dbname=snort user=snort password=test

Realizamos el siguiente cambio:

Descomentamos:

# output database: log, mysql, user=root password=test dbname=db host=localhost

y los dejamos de esta forma:

output database: log, mysql, user=root password=snortpass dbname=db host=localhost

Ahora las alertas serán dirigidas a la base de datos.

Esta entrada fue publicada en Seguridad y redes, Snort y etiquetada , , , , , , , , , . Guarda el enlace permanente.

Una respuesta a Snort. Enviado log a base datos mysql.

  1. Pingback: TNV. Herramienta gráfica de visualización e interpretación de tráfico de red. | Seguridad y Redes

Deja un comentario