●SnortSnarfのインストール |
Time::JulianDayの組み込みが完了したら、SnortSnarfをインストールする。SnortSnarfは、SnortSnarfのアーカイブの展開を行ったディレクトリにある「snortsnarf.pl」および、「inclede」ディレクトリを適当なディレクトリに移動させるだけでよい。ここでは「/usr/local/snortsnarf」ディレクトリを作成し、そこに移動させた。
$ wget http://www.silicondefense.com/software/snortsnarf/ SnortSnarf-020516.1.tar.gz $ tar xvzf SnortSnarf-020516.1.tar.gz $ cd SnortSnarf-020516.1 $ su password: # mkdir /usr/local/snortsnarf # mv snortsnarf.pl/usr/local/snortsnarf # mv ./include /usr/local/snortsnarf |
次にSnortのログファイルを集計し、HTML形式のファイルとして保存するためのディレクトリを作成する。ここでは、Webサーバ「Apache」がインストールされている仮定で解説する。
ApacheはRPMパッケージでインストールされている場合、デフォルトのルートディレクトリが「/var/www/html」にあるため、「/var/www/html/snort」といった名称のディレクトリを作成し、SnortSnarfを利用した際のHTMLファイル出力先とすればよい。
# mkdir /var/www/html/snort |
以上でインストール作業は完了する。実際にSnortのログファイルを集計し、HTML形式のファイルとして出力させてみよう。
●SnortSnarfでログの集計を行う |
第1回の手順ですでにSnortを導入し、「/var/log/snort」以下にログファイル、alert、portscan.logが作成されているならば、
./snortsnarf.pl -d [HTML形式で保存するディレクトリ] [snortログ1] [snortログ2] |
としてSnortSnarfを実行してみよう。ログのサイズによっては時間がかかるかもしれないが、ログデータが自動的に集計され、HTML形式のファイルとして出力されるはずだ。
# cd /usr/local/snortsnarf # ./snortsnarf.pl -d /var/www/html/snort /var/log/snort/alert /var/log/ snort/portscan.log |
Snortのログファイル(alert、portscan.log)は存在するが、なにもログがない場合は下記のようにスキップされてしまうことになるが、HTMLファイルは作成される。
SnortFileInput: input file /var/log/snort/alert
exists but is length 0; skipping it SnortFileInput: input file /var/log/snort/portscan.log exists but is length 0; skipping it |
/var/www/html/snort 以下を確認し、HTML形式でのファイル出力が確認できたら、ブラウザで「http://サーバのアドレス/snort/」と入力し、集計されたログを閲覧してみよう(写真1)。
写真1■SnortSnarfが作成したログファイルの一覧 |
2/5 |