next up previous contents
Next: Snortのテスト, nmap Up: 侵入検知システム Previous: Snortの起動方法

ログの解析: snortsnarf

Snort には多くのツールがあるが、特にログを表示するツールの内では snortsnarf が簡単に利用出来る。 snortsnarf はログ,アラートを読み込み、Web ページを自動的に生成するツールである。 FreeBSD 4.6R のパッケージに付属している snortsnarf のバージョンは 20126 である(snortsnarf もパッケージの security の中にある)。 Perlのモジュールで必要なものもあるが、パッケージでは自動的に 導入してくれる。もし、他の OS に導入する場合には Web ページを 参考にされたい。

snortsnarf をインストールすると、/usr/local/share/doc/snortsnarf/ に README と Usage がインストールされ、snortsnarf 自体は /usr/local/bin にインストされる。

起動に必要な最小限のオプションは以下の通りである。ちなみに、 引数にはログファイル、ログディレクトリを指定する。

-d dir HTML ファイルを生成するディレクトリ
-dns IP を全てFQDNに変換(負荷が高い)
-rulesfile file snort.conf を指定
-rulesdir dir rules file のディレクトリを指定

従って、例えば以下のようにして起動すれば良い。


  # snortsnarf -d /usr/local/share/doc/apache/snort -rulesfile  \
    /usr/local/etc/snort.conf -rulesdir /usr/local/share/snort \ 
    /var/log/snort.log /var/log/snort

実際に運用する場合には、cron により定期的に動かせば良いだろう。

その他にも、ログをリアルタイムに表示するGUIツールや、警報システム などもあるが、ここでは取り上げない。各自トライして見て欲しい。



Noriyo Kanayama