●SnortSnarfのインストール

 Time::JulianDayの組み込みが完了したら、SnortSnarfをインストールする。SnortSnarfは、SnortSnarfのアーカイブの展開を行ったディレクトリにある「snortsnarf.pl」および、「inclede」ディレクトリを適当なディレクトリに移動させるだけでよい。ここでは「/usr/local/snortsnarf」ディレクトリを作成し、そこに移動させた。

$ wget http://www.silicondefense.com/software/snortsnarf/
SnortSnarf-020516.1.tar.gz
$ tar xvzf SnortSnarf-020516.1.tar.gz
$ cd SnortSnarf-020516.1
$ su
password:
# mkdir /usr/local/snortsnarf
# mv snortsnarf.pl/usr/local/snortsnarf
# mv ./include /usr/local/snortsnarf

 次にSnortのログファイルを集計し、HTML形式のファイルとして保存するためのディレクトリを作成する。ここでは、Webサーバ「Apache」がインストールされている仮定で解説する。

 ApacheはRPMパッケージでインストールされている場合、デフォルトのルートディレクトリが「/var/www/html」にあるため、「/var/www/html/snort」といった名称のディレクトリを作成し、SnortSnarfを利用した際のHTMLファイル出力先とすればよい。

# mkdir /var/www/html/snort

 以上でインストール作業は完了する。実際にSnortのログファイルを集計し、HTML形式のファイルとして出力させてみよう。

●SnortSnarfでログの集計を行う

 第1回の手順ですでにSnortを導入し、「/var/log/snort」以下にログファイル、alert、portscan.logが作成されているならば、

./snortsnarf.pl -d [HTML形式で保存するディレクトリ] [snortログ1] [snortログ2]

としてSnortSnarfを実行してみよう。ログのサイズによっては時間がかかるかもしれないが、ログデータが自動的に集計され、HTML形式のファイルとして出力されるはずだ。

# cd /usr/local/snortsnarf
# ./snortsnarf.pl -d /var/www/html/snort /var/log/snort/alert /var/log/
snort/portscan.log

 Snortのログファイル(alert、portscan.log)は存在するが、なにもログがない場合は下記のようにスキップされてしまうことになるが、HTMLファイルは作成される。

SnortFileInput: input file /var/log/snort/alert exists but is length 0; skipping it
SnortFileInput: input file /var/log/snort/portscan.log exists but is length 0; skipping it

 /var/www/html/snort 以下を確認し、HTML形式でのファイル出力が確認できたら、ブラウザで「http://サーバのアドレス/snort/」と入力し、集計されたログを閲覧してみよう(写真1)。

写真1
写真1■SnortSnarfが作成したログファイルの一覧

PREV 2/5 NEXT