Faremos o download do Snorby:

# wget --no-check-certificate https://snorby.org/redirect?version=2.6.2 -O snorby-2.6.2.tar.gz

Extrair os arquivos:

# tar -zxvf snorby-2.6.2.tar.gz -C /var/www/htdocs/

Vamos para o diretório:

# cd /var/www/htdocs

Renomear a pasta:

# mv snorby-2.6.2 snorby

Entrar na pasta de configuração do Snorby:

# cd snorby/config

Executar os comandos abaixo:

# cp snorby_config.yml.example snorby_config.yml
# cp database.yml.example database.yml

Configurar a base do Snorby para o MySQL:

# mysql -u root -p

Dentro do MySQL, execute os seguintes comandos:

MYSQL> create database snorby;
MYSQL> grant all privileges on snorby.* to snorby@localhost identified by 'password_mysql_snorby';
MYSQL> flush privileges;
MYSQL> exit;

Supondo que ainda esteja na pasta /var/www/htdocs/snorby/config, vamos editar o arquivo database.yml e fazer as devidas modificações, como abaixo.

Modifique as linhas de acordo com as suas configurações:

# mcedit database.yml


Feche o arquivo e vá para um diretório abaixo.

# cd ..

Agora vamos instalar o Rails:

# gem update
# gem install rails

Neste momento você pode tomar um café e fazer outras coisas, vai demorar um pouco.

vamos instalar o Bundler:

# gem install bundler

Nesta parte vai demorar um pouco, mas nem tanto como acima.

Vamos rodar o Snorby:

# rake snorby:setup

Se nesse passo ocorreu um erro como abaixo:

  _{rake aborted!
  Gem::LoadError: You have already activated rake 10.4.2, but your Gemfile requires rake 0.9.2. Prepending `bundle exec` to your command may solve this.
  /var/www/htdocs/snorby/config/boot.rb:8:in `<top (required)>'
  /var/www/htdocs/snorby/config/application.rb:1:in `<top (required)>'
  /var/www/htdocs/snorby/Rakefile:4:in `<top (required)>'
  (See full trace by running task with --trace)}

Quer dizer que você tem mais de um rake instalado e está tendo conflito, é preciso desinistalar as versões e manter a versão 0.9.2.

Execute:

# gem uninstall rake

Será listado os rake instalados, escolha as versões que não seja a 0.9.2

Select gem to uninstall:
   1. rake-0.9.2
   2. rake-0.9.2.2
   3. rake-10.4.2
   4. All versions
> 2

If you remove this gems, one or more dependencies will not be met.
Continue with Uninstall? [Yn]  y

Repita os passos até ficar somente a versão 0.9.2, que é a que precisamos.

Execute novamente o comando:

# rake snorby:setup

Neste momento será mostrada a seguinte saida:

  _{// This is the command's output
  ERROR 1007 (HY000) at line 1: Can't create database 'snorby'; database exists
  [datamapper] Finished auto_upgrade! for :default repository 'snorby'
  [~] Adding `index_timestamp_cid_sid` index to the event table
  [~] Adding `id` to the event table
  [~] Building `aggregated_events` database view
  [~] Building `events_with_join` database view
  * Removing old jobs
  * Starting the Snorby worker process.
  * Adding jobs to the queue}

Este erro é normal, esta dizendo que a base snorby já foi criada.

Agora é so executar o snorby e fazer o teste, supondo que você ainda esteja na pasta /var/www/htdocs/snorby:

# rails server -e production

Você terá a seguinte saida:

  _{=> Booting WEBrick
  => Rails 3.1.12 application starting in production on http://0.0.0.0:3000
  => Call with -d to detach
  => Ctrl-C to shutdown server
  [2014-12-08 10:30:24] INFO  WEBrick 1.3.1
  [2014-12-08 10:30:24] INFO  ruby 1.9.3 (2013-06-27) [x86_64-linux]
  [2014-12-08 10:30:24] INFO  WEBrick::HTTPServer#start: pid=30619 port=3000}

Entre no IP do servidor pelo navegador: http://ip.do.teu.servidor:3000

• Usuario: snorby@snorby.org
• Senha: snorby

Temos algo como na imagem abaixo:
Agora vamos inserir a seguinte linha no final do arquivo /etc/barnyard2.conf para que o Snorby possa funcionar corretamente.

# vi /etc/barnyard2.conf


Então, agora temos 2 entradas do MySQL no /etc/barnyard2.conf, a do Snort e a do Snorby. Isso mesmo.

Reinicie o serviço do Barnyard2:

# /etc/rc.d/rc.barnyard2 restart

Faça um teste no seu sistema para ver se teu sistema está capturando. Vá em outra maquina e rode o comando:

# nmap -d -sS -A ip.do.teu.servidor
# ping -c 10 ip.do.teu.servidor

Teremos a seguinte saída, como nas imagens abaixo: