next up previous contents
Next: ルールの記述 Up: Snortの設定 Previous: 出力の設定

ルールファイルの読み込み

様々なパケットの監視ルールは今も改良・拡張が続いており、それらは 区分ごとにファイルに後述のルールに従って記述されている。Snort では それらのルールファイルを読み込んで動作するようになっているが、 簡便のためにC言語などと同じ include 機能がある。


    include  [ファイル名]

例えば、標準の snort.conf の末尾には以下のようにルールファイルの 読み込みが設定されている。


    include $RULE_PATH/bad-traffic.rules
    include $RULE_PATH/exploit.rules
    include $RULE_PATH/scan.rules
    include $RULE_PATH/finger.rules
    include $RULE_PATH/ftp.rules
    include $RULE_PATH/telnet.rules
    include $RULE_PATH/smtp.rules
    include $RULE_PATH/rpc.rules
    include $RULE_PATH/rservices.rules

このうち$RULE_PATH は、最初の設定の項目で説明した通り、 /usr/local/share/snort に設定して置かなければならない。

ルールファイルは常にアップデートが必要であり、以下の場所で手にはいる。


http://www.snort.org/dl/signatures/

ルールの詳細については次節で紹介する。



Noriyo Kanayama