[vine-users:080840] Re: ＜ご教授願い＞Vine5.2へのsnortの導入手法

[swing4jazzy ＠ gmail.com]

On Fri, 18 Feb 2011 23:53:42 +0900

岸@岐阜県です。
ちょっと試してみました。

Hajime Satono <hsatono ＠ iodata.jp>さん wrote:


> 最初に次のようなコマンドを入力してエラーが出ないことを確認。
> $ sudo /usr/sbin/snort -c /etc/snort/snort.conf -i eth0
> 	・
> 	・
> +----------------------------------------------------------------
> [ Number of patterns truncated to 20 bytes: 693 ]
> pcap DAQ configured to passive.
> Acquiring network traffic from "eth0".
> Decoding Ethernet
> WARNING: normalizations disabled because DAQ can't replace packets.
> ERROR: database: mysql_error: Access denied for user 'snort'@'localhost'
> (using password: YES)
> Fatal Error, Quitting..
> 
> とやはり同じでした(泣)
最初に

WARNING: normalizations disabled because DAQ can't replace packets.

これは私の所でも出ていました（汗。で、当方ではこれ以降次のようになってい
ます。

WARNING: normalizations disabled because DAQ can't replace packets.
database: compiled support for (mysql)
database: configured to use mysql
database: schema version = 107
database:           host = localhost
database:           user = snort
database:  database name = snort_log
database:    sensor name =　user.server:eth1
database:      sensor id = 1
database:  data encoding = hex
database:   detail level = full
database:     ignore_bpf = no
database: using the "log" facility

        --== Initialization Complete ==--

それであることに気がついてわざと /etc/snort/snort.conf ファイルの

output database: log, mysql, user=

で始まる箇所の user 名を設定していない名前に変更してみた所、里野＠金沢さ
んと同じような

Decoding Ethernet
WARNING: normalizations disabled because DAQ can't replace packets.
ERROR: database: mysql_error: Access denied for user
'snorter'@'localhost' (using password: YES) Fatal Error, Quitting..

が出るようになりました。で結論は /etc/snort/snort.conf ファイルの
output database: log, mysql, user=snort password=snortpass
dbname=snort_log host=localhost

の記述（特に user 名）には間違いがないでしょうか。

-- 
  K.Kishi
  http://swing.jakou.com/index.html
  (猫とVineとJazzと自転車)