Wednesday, August 04, 2004

Hints on Using Oinkmaster and Sguil

I released an updated Sguil Installation Guide today that shows how to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort stream4 keepstats-based session data collection system with John Curry's SANCP code. SANCP is a better option than stream4, as SANCP tracks not only TCP like stream4 but also UDP and ICMP. The flows are also easier to work with, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to occupy single entries.

I've also been experimenting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to use Oinkmaster with my preferred directory layouts. When Oinkmaster runs, it works in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory specified. For example:

perl ./oinkmaster.pl -b /tmp -o /usr/local/etc/snort/rules
-C /usr/local/etc/snort/oinkmaster.conf

This syntax will tell Oinkmaster to place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files it manipulates in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /usr/local/etc/snort/rules directory. Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .rules files, this includes ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r important files:

-> classification.config
-> gen-msg.map
-> reference.config
-> sid-msg.map
-> threshold.conf
-> unicode.map

I like to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in /usr/local/etc/snort. To deal with this, I replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files in /usr/local/etc/snort with symlinks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real files in /usr/local/etc/snort/rules:

orr:/usr/local/etc/snort# rm classification.config gen-msg.map reference.config
sid-msg.map threshold.conf unicode.map
orr:/usr/local/etc/snort# ln -s rules/classification.config classification.config
orr:/usr/local/etc/snort# ln -s rules/gen-msg.map gen-msg.map
orr:/usr/local/etc/snort# ln -s rules/reference.config reference.config
orr:/usr/local/etc/snort# ln -s rules/sid-msg.map sid-msg.map
orr:/usr/local/etc/snort# ln -s rules/threshold.conf threshold.conf
orr:/usr/local/etc/snort# ln -s rules/unicode.map unicode.map

This may seem a waste of time, but I have /usr/local/etc/snort coded into many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil config files as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se various .conf and .map configuration files.

1 comment:

Anonymous said...

The time is spent, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system will be more protected