Snort-MySQL en Debian

Hey,

Ik ben vandaag gaan klooien met Snort op Debian. Ik heb deze uitleg gebruikt: http://www.snort.org/docs/snort_acid_rh9.pdf. Ik heb alle benodigde packages ge-apt of met de hand geinstalleerd, zoals adodb. Nu werkt snort wel en hij logt wel naar /var/log/snort/alert maar hij moet naar mijn mysql database loggen die ik snort heb genoemd. Ik heb ook Acid (Analysis Console for Intrusion Databases) alleen deze leest nu niets uit omdat er simpelweg niets te vinden is in de database kwa logmeldingen. Ik heb de benodigde tabellen aangemaakt maar er komt simpelweg niets in.

Ik laat Snort-MySQL luisteren op ppp0 (mijn externe interface) en ik zie dan ook leuk allemaal berichtjes verschijnen in /var/log/snort/alert en portscan2.log. Ik vraag me af hoe ik deze berichten nou in de database krijg? Ik gebruik de correcte login naam voor mijn database en het correcte wachtwoord, maar op de een of andere manier komt er niets bij.

Google brengt weinig informatie en Op GoT zijn niet zoveel topics over Snort en zeker niet over mijn probleem.

Deze regel gebruikt debian automatisch:

output database: log, mysql, user=root password=mijnmysqlwachtwoord dbname=snort host=localhost

MySQL draait, ik heb de juiste database aangemaakt: "snort" en de rechten staan goed aangezien user root volledige rechten heeft over elke database die in MySQL aanwezig is.

Update:

Niet zo gek dat 't niet werkt, snort support een ppp0 device niet!

[14:25] <erektheloser> /*
[14:25] <erektheloser> * We only handle uncompressed packets. Handling VJ compression would mean
[14:25] <erektheloser> * to implement a PPP state machine.
[14:25] <erektheloser> */

Dus dat wordt wachten op fatsoenlijke ppp0 support! Hij werkt nu trouwens wel op eth0, alleen intern, en mijn netwerkje is niet zo groot, dus ook niet zo interessanT!

[ Voor 63% gewijzigd door Verwijderd op 29-07-2003 01:08 ]