Solaris User

SnortSnarfでsnortのログをチェックする

snortsnarfはsnortの出力するログをとても見やすいHTMLファイルに変換してくれるツールです。

これによりsnortのログをブラウザから簡単にチェックすることができるようになります。

■　前提環境　
　snortインストール済み (参照: snortのインストール)

■　準備
下記サイトでSnortSnarf-021111.1.tar.gzを入手する。
http://www.silicondefense.com/snortsnarf/

■　SnortSnarfのインストール・設定

# ls SnortSnarf-021111.1 # cd SnortSnarf-021111.1 # ls COPYING                  Time-modules             nmap2html Changes                  Usage                    sisr README                   cgi                      snortsnarf.pl README.SISR              include                  utilities README.nmap2html         new-annotation-base.xml # mkdir /usr/local/snortsnarf # cp -pr include snortsnarf.pl /usr/local/snortsnarf # cd /usr/local/snortsnarf # ls include        snortsnarf.pl ============================ Timeモジュールのインストール ============================ http://search.cpan.org/ 上記サイトからモジュールJulianDay.pm, ParseDate.pm, Timezone.pmをダウンロードし下記ディレクトリに配置する。 # mkdir include/Time # cp /tmp/*.pm include/Time # ls include/Time JulianDay.pm  ParseDate.pm  Timezone.pm ================================= snortsnarf用Webディレクトリの作成 ================================= # mkdir /usr/local/apache2/htdocs/snort-snarf =================== snortsnarfの実行例 =================== # ./snortsnarf.pl -d /usr/local/apache2/htdocs/snort-snarf /var/log/snort/alert　/var/log/snort/portscan.log -d で作成するindex.htmlファイルの格納場所の指定、あとのファイルはsnortのログファイル（複数指定可） ※ snortsnarfは必ずカレントディレクトリで実行する。(スクリプト内部のパスの事情で・・・) ============================== snortsnarfの自動実行スクリプト ============================== 以下のようなスクリプトをcronで自動実行させておく。 # cat snortsnarf_run.sh #!/bin/bash cd /usr/local/snortsnarf ./snortsnarf.pl -d /usr/local/apache2/htdocs/snort-snarf /var/log/snort/alert /var/log/snort/portscan.log ちなみにログファイルが大きくなるとかなり負荷がかかるのであまり頻繁に行わない方がよい。よりリアルタイムに近いログのチェックをする場合はmysql+ACID構成でsnortと連携させるのが一般的。

　以上でsnortsnarfのインストール・設定は終了です。
あとはブラウザからsnortsnarfが変換したindex.htmlファイルにアクセスして確認しましょう。
(ここでは常識的なApacheの設定は紹介しておりませんが、当然、snortのログは管理者以外見ることができないように認証などのアクセス制限はしておきましょう。)

snort関連のその他のリンク