15 根据manual的说明,中间可以选择安装tor代理,我没有,到后面,突然又提示我是否安装,我yes了,但是Ubuntu的软件库中居然把tor代理去掉了,直接就中止退出了,唉。。。
16 重新安装,ok。根据说明,bothunter需要一个新用话cta-bh, 当然也可以是老用户,但是需要cst(1),我也不太清楚,google下是一个类似c的shell。算了,懒得麻烦了,新建个用户吧 cta-bh.注意,在这个过程后,bothunter要开始编译snort,要花一段时间,不要以为是死机了,linux没那么容易死的
17 linux真的死了
18 这个过程很痛苦:我重启ubuntu后,按照安装说明书的第二阶段User configuration Procedure中的13步骤继续进行时,由于我之前指定了系统开机启动bothunter,因此它的进程已经启动,因此上述过程发生error后退出了。(但是我想看到后面的一些配置的细节内容,所以还是希望按照说明书的走一遍,尽管可能已经安装完毕了,另外补充,开机后,bothunter消耗的资源太不可思议了,我的整个ubuntu都缓慢不堪,只好使用chkconfig --level 2345 cte-BotHunter(忘了是否精确) off 将其开机启动关闭,然后重新重启。)重新启动后,又来到13步,这次ok了!看到了它的一些现实的配置信息,之后,系统提示是否继续安装:如下图所示:
我选择了done,上述几项的内容解释可以参考manual的Configuring BotHunter部分。
当Bothunter第一次被调用时,它会创建一些列文件。包括keys,证书,日志和配置设置等。下面就是它创建的一些文件。
19 可以在Console和GUI下操作(我之前在开机启动后,进入了那个cta-bh用户,奇慢无比。但是打开就有Bothunter GUI的图标,并且打开了,由于太慢,只好关闭)
20 看看如何在Unix Console Mode下操作:
Bothunter可以处理Snort产生的事件日志(下面四类输入处理模式皆可)
21 我们看bothunter如何在live pipe模式工作:
这是使用Bothunter监控某个网络时推荐的模式,这个状态snort日志按标准格式输出,然后进入Bothunter的correlation处理进程。当你配置bothunter在这个模式,系统将会提示你输入bothunter进程运行的命令。
22 在Live file mode:
如果不是live模式,那么下一步的命令就是让你选择一个输入源for snort alerts, 你可以选择输入源 [ OPTION 2] 来让bothunter从live snort log处理警告。这个方法允许你运行snort在bothunter的外部,但是你也必须assume the burden of restarting snort when it fails and managing disk storage space.
在这个模式,Bothunter处理完指定的input文件后不会终止,而是等待更多的数据添加到这个文件。同时,它也会持续监视这个文件路径,来看其是否变化(文件大小,突然无法访问,读到EOFs但是文件仍在增大)。具体的看manual14页。
如何选择:
23.Batch mode:批模式
如何选择:
