/u/194738/red.JPG?f=community)
Ik ben bezig met het opzetten van een Snort-IDS (2.9.12) in een Ubuntu-omgeving (18.04.1 LTS) a.d.h.v. deze tutorial: http://sublimerobots.com/...-ubuntu-installing-snort/
Snort installeren lukt
Snort instellen met een single test rule lukt
Barnyard 2 installeren lukt
Het opstarten van Snort, Barnyard en het vervolgens detecteren van pings naar de machine werkt snel en vlekkeloos.
Dan komt de installatie van Pulledpork en wanneer ik nu de Snort en Barnyard service draai, duurt het zo'n 30 tot 60 minuten voordat het systeem operationeel is.
Ik voer eerst sudo /usr/local/bin/snort -u -g snort -c /etc/snort/snort.conf -i ens160 -D uit zodat de snort service draait. Dit duurt een seconde of 10-20 en dan werkt t.
Vervolgens voer ik sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u snort uit en dan blijft hij eerst een paar minuten op het volgende hangen:
Daarna gaat hij door, maar blijft ie hier hangen.
En dan duurt het zo'n 30 tot 60 minuten voordat het systeem in de lucht is.
Mijn vraag:
Waarom duurt dit zo lang en wat kan ik er aan doen? 30-60 seconden wachten is prima acceptabel, maar 30-60 minuten..not so much.
Relevante software en hardware die ik gebruik:
ESXi 6.0.0
Ubuntu (VM) 18.0.4.1 LTS (64bit) (met 24GB mem)
Snort (2.9.12)
Libpcap 1.8.1
PCRE 8.39
ZLIB 1.2.11
Daq 2.0.6
Barnyard 2.1.14
Pulledpork (laatste versie op deze datum (25-01-2019))
Wat ik al gevonden of geprobeerd heb:
Het lijkt alsof het verwerken van barnyard2.conf op zich laat wachten.
Ik heb de config-file controleerd op eventuele typ- of instelling fouten van mijn kant, maar die ben ik niet tegengekomen.
Ik ben dit artikel tegengekomen: https://github.com/firnsy/barnyard2/issues/54
In dit artikel wordt gevraagd om het aantal record in de signature-tabel te checken. Bij de poster is dit 3812, bij mij is dit 60,441. Een stukkie meer dus, maar heeft dit er wel iets mee te maken?
sig_reference zit tegen de 100,000 aan en reference tegen de 40,000.
Ik ben verschillende keren opnieuw aan de tutorial begonnen, maar het probleem blijft bestaan.
Ik kan de database een keer volledig leeg gooien (ik maak van te voren een snaphot) en dan kijken wat ie doet, maar voordat ik dat doe, wil ik eigenlijk weten of iemand een beter idee heeft.
Logfiles die ik kan checken?
Missen er misschien bestanden op bepaalde plekken?
Snort installeren lukt
Snort instellen met een single test rule lukt
Barnyard 2 installeren lukt
Het opstarten van Snort, Barnyard en het vervolgens detecteren van pings naar de machine werkt snel en vlekkeloos.
Dan komt de installatie van Pulledpork en wanneer ik nu de Snort en Barnyard service draai, duurt het zo'n 30 tot 60 minuten voordat het systeem operationeel is.
Ik voer eerst sudo /usr/local/bin/snort -u -g snort -c /etc/snort/snort.conf -i ens160 -D uit zodat de snort service draait. Dit duurt een seconde of 10-20 en dan werkt t.
Vervolgens voer ik sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u snort uit en dan blijft hij eerst een paar minuten op het volgende hangen:
Daarna gaat hij door, maar blijft ie hier hangen.
En dan duurt het zo'n 30 tot 60 minuten voordat het systeem in de lucht is.
Mijn vraag:
Waarom duurt dit zo lang en wat kan ik er aan doen? 30-60 seconden wachten is prima acceptabel, maar 30-60 minuten..not so much.
Relevante software en hardware die ik gebruik:
ESXi 6.0.0
Ubuntu (VM) 18.0.4.1 LTS (64bit) (met 24GB mem)
Snort (2.9.12)
Libpcap 1.8.1
PCRE 8.39
ZLIB 1.2.11
Daq 2.0.6
Barnyard 2.1.14
Pulledpork (laatste versie op deze datum (25-01-2019))
Wat ik al gevonden of geprobeerd heb:
Het lijkt alsof het verwerken van barnyard2.conf op zich laat wachten.
Ik heb de config-file controleerd op eventuele typ- of instelling fouten van mijn kant, maar die ben ik niet tegengekomen.
Ik ben dit artikel tegengekomen: https://github.com/firnsy/barnyard2/issues/54
In dit artikel wordt gevraagd om het aantal record in de signature-tabel te checken. Bij de poster is dit 3812, bij mij is dit 60,441. Een stukkie meer dus, maar heeft dit er wel iets mee te maken?
sig_reference zit tegen de 100,000 aan en reference tegen de 40,000.
Ik ben verschillende keren opnieuw aan de tutorial begonnen, maar het probleem blijft bestaan.
Ik kan de database een keer volledig leeg gooien (ik maak van te voren een snaphot) en dan kijken wat ie doet, maar voordat ik dat doe, wil ik eigenlijk weten of iemand een beter idee heeft.
Logfiles die ik kan checken?
Missen er misschien bestanden op bepaalde plekken?
[ Voor 3% gewijzigd door KoffieNT op 25-01-2019 14:52 ]
:D
:strip_icc():strip_exif()/u/75092/robinia_70.jpg?f=community)