Como dice el buen raac no hace falta MySQL y tampoco Acid. En principio no queremos ayuda en la interpretación de los logs ya que se trata de aprender a descifrar las alertas en bruto. Que yo sepa MySQl cumple las funciones mencionadas por raac y no se si alguna más, pero eso ahora no me interesa mucho, más adelante veremos porqué.

Antes de continuar me gustaría que siguiérais el hilo de Tipos de escaneo nmap:

http://www.forosdelweb.com/mensaje.asp?id=85584

Entre otras cosas porque ahí veremos algunas cosas sobre teoría TCP, tipos y teoria de escaneo de puertos, identificacion de sistema operativo, etc. que no serán muy válido y casi imprescindible para entender los logs de snort y otros logs basados en el mismo sistema como TCPdump o Windump.

También nos servirá porque trataremos de escanear el host donde esté ubicado snort con nmap y estudiar los resultados. Una vez que veamos los resultados, los interpretemos y entendamos pasamos a la fase activa que será crear nuestras propias reglas.

Crear nuestras propias reglas es lo más interesante porque, por ejemplo, si alguna vez detectamos un nuevo virus que aún nuestro antivirus no contempla, en menos de 30 segudos podremos detectar con snort cualquier intento de infección en nuestros sistemas.

Un saludo,