Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3445 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS logging to MySQL database

JimmyM
Well, I tried to configure ASL to log IPS alerts to an external MySQL database.
First it edited the snort.conf-default file for the proper output settings.
Created the necessary packet filter entry.
Then stopped and restarted the IPS.
FATAL ERROR.

The problem is that the snort_inline executable was compiled without MySQL support.
I tried replacing the snort_inline executable with a statically compiled binary from the snort_inline site that has MySQL support.

No FATAL ERROR but the machine doesn't route trafffic because ASL doesn't use the QUEUE target as the new binary expects.

So what can we do to log snort events to an ACID database?


This thread was automatically locked due to age.
Parents
  • 0
    Sounds like Astaro needs to release the source for their Snort.

    Barry
  • 0 in reply to BarryG
    Or maybe it's just a non-standard 'configure' option.
  • 0 in reply to firebear_01
    My Executive Report says I had 6 IPS rule hits yeasterday but I'll be damned if I can find them when I only have the email alert set for medium and high.
    ACID is such a nice tool.
    I downloaded the source RPMs from Astaro's FTP site but don't have a spare Linux box in which to install the RPM source.
    C'mon, how big a deal would it be to just compile snort_inline with MySQL output?
    As soon as I can put together a spare Linux machine, I'll try recompiling with MySQL support.
  • 0 in reply to JimmyM
    look in the logs area...
    local logs-browse-intrusion protection system
    then clock on a date and scroll through them.  That is where ALL ips messages are kept..both status messages AND the ips hits..so you have to wade through a fair amount..[:)]
  • 0 in reply to William Warren
    OK, got it, so I can wade through all that garbage for alerts. I'd rather log them to MySQL and use ACID to view/analyze them.
    I guess I'll have to wait until Astaro decides to compile their snort app with MySQL support or hope someone here has the time/facilities to recompile it for the group.
  • 0 in reply to JimmyM
    Hi Jim, I have misc. boxes running RH7.3, and Fedora Core 2.

    I'd be willing to try to compile it if you can tell me where to d/l it, and anything else you know about ASL 5's configuration.
    Do you know what version of RedHat or Fedora they're using (if any)?

    I'm somewhat worried that configuring and compiling it on a different linux may make it incompatible with ASL, but I guess it can't hurt to try.

    I suspect the MySQL headers may need to be installed on ASL, although compiling static might get around that.

    Also, I'm not sure if I'll be able to test it easily on ASL5... I'm not using MySQL at home, and at work we're still using ASL 3. However, I could at least test that the binary still works in place of the ASL provided one.

    Give me a URL for the ASL source RPM and I'll take a look at it.

    Thanks,
    Barry
  • 0 in reply to BarryG
    FTP it from ftp.astaro.de/pub/gpl
    They have the source RPMs there as an ISO image.

    Give it a shot. If it works... you da man.
    If it doesn't you da man for trying.

    Would be nice if the folks at ASL could give a little insight into recompiling snort_inline with MySQL support. Unsupported of course.
  • 0 in reply to JimmyM
    Jim, I started on this yesterday... looks like I will be able to compile...

    Are you using MySQL 3 or 4?
    The libraries are different depending on the version.

    Thanks,
    Barry
  • 0 in reply to BarryG
    I'm using MySQL 4. I received a couple of files from Stephan Scholz that he prepared for this purpose. I need to confirm MySQL version with him first though.
  • 0 in reply to JimmyM
    OK, well let me know what happens. I think I have what I'd need to compile for MySQL 3, but I can get the 4.x stuff too.
  • 0 in reply to BarryG
    Stephan said he compiled it with v3.23.52. He's looking into recompiling with v4 as well. I'll await his answer before proceding in any fasion.
Reply Children
No Data