IPS logging to MySQL database

Sounds like Astaro needs to release the source for their Snort.

Barry

Or maybe it's just a non-standard 'configure' option.

Hi,
maybe this is not the best way to do it but i have taken the kiwi-syslog deamon for windows than told my ASL to log to this windows machine and kiwi writes it to a text-file or a Database.

firebear

My Executive Report says I had 6 IPS rule hits yeasterday but I'll be damned if I can find them when I only have the email alert set for medium and high.
ACID is such a nice tool.
I downloaded the source RPMs from Astaro's FTP site but don't have a spare Linux box in which to install the RPM source.
C'mon, how big a deal would it be to just compile snort_inline with MySQL output?
As soon as I can put together a spare Linux machine, I'll try recompiling with MySQL support.

look in the logs area...
local logs-browse-intrusion protection system
then clock on a date and scroll through them.  That is where ALL ips messages are kept..both status messages AND the ips hits..so you have to wade through a fair amount..[:)]

OK, got it, so I can wade through all that garbage for alerts. I'd rather log them to MySQL and use ACID to view/analyze them.
I guess I'll have to wait until Astaro decides to compile their snort app with MySQL support or hope someone here has the time/facilities to recompile it for the group.

OK, got it, so I can wade through all that garbage for alerts. I'd rather log them to MySQL and use ACID to view/analyze them.
I guess I'll have to wait until Astaro decides to compile their snort app with MySQL support or hope someone here has the time/facilities to recompile it for the group.

anyone?

Hi Jim, I have misc. boxes running RH7.3, and Fedora Core 2.

I'd be willing to try to compile it if you can tell me where to d/l it, and anything else you know about ASL 5's configuration.
Do you know what version of RedHat or Fedora they're using (if any)?

I'm somewhat worried that configuring and compiling it on a different linux may make it incompatible with ASL, but I guess it can't hurt to try.

I suspect the MySQL headers may need to be installed on ASL, although compiling static might get around that.

Also, I'm not sure if I'll be able to test it easily on ASL5... I'm not using MySQL at home, and at work we're still using ASL 3. However, I could at least test that the binary still works in place of the ASL provided one.

Give me a URL for the ASL source RPM and I'll take a look at it.

Thanks,
Barry

FTP it from ftp.astaro.de/pub/gpl
They have the source RPMs there as an ISO image.

Give it a shot. If it works... you da man.
If it doesn't you da man for trying.

Would be nice if the folks at ASL could give a little insight into recompiling snort_inline with MySQL support. Unsupported of course.

Jim, I started on this yesterday... looks like I will be able to compile...

Are you using MySQL 3 or 4?
The libraries are different depending on the version.

Thanks,
Barry

I'm using MySQL 4. I received a couple of files from Stephan Scholz that he prepared for this purpose. I need to confirm MySQL version with him first though.

OK, well let me know what happens. I think I have what I'd need to compile for MySQL 3, but I can get the 4.x stuff too.

Stephan said he compiled it with v3.23.52. He's looking into recompiling with v4 as well. I'll await his answer before proceding in any fasion.