next up previous contents
Next: ルールファイルの読み込み Up: Snortの設定 Previous: プリプロセッサの設定

出力の設定

Snort では、様々な出力形式に対応している。 syslog は言うに及ばず、 データベースとの連携、SNMP などにも対応しているし、更にWeb上での 確認には別のツールを使う方法もある。ここでは最も単純な syslog での ログを取り上げる。リアルタイムネスを要求するような場合には、 SNMP で trap をかける方法が好ましいであろう。

  1. syslog の設定

    デフォルトでは snort.conf は以下のようになっている。

    
        output alert_syslog: LOG_AUTH LOG_ALERT
    

    実際には、別のログファイルに全て記録した方が解析する上でも都合が 良いであろう。

    
        output alert_syslog: LOG_LOCAL0
    

    とし、/etc/syslog.conf に以下のように設定しておく。

    
        local2.*      /var/log/snort.log
    

    後は、syslogd に kill -HUP を送れば良い。勿論、長期に渡って稼働 させる場合には、newsyslog などの設定も必要である。

  2. dump data

    tcpdump などのバイナリ形式での保存を行う場合は以下のように指定する。

    
        output log_tcpdump: snort-bin.log
    

    Snort を使って再度このバイナリデータを解析も出来るし、勿論、 ethereal などで見る事も出来る。標準のログディレクトリに作成される。 但し、一般には全ての監視パケットを記録する事になるので、常に行う ものではなく、何らかの調査が必要な際に利用するものであろう。



Noriyo Kanayama