●リアルタイム監視ツール「RazorBack」の導入 |
SnortをインストールしたサーバでX-Windowを利用しているのであれば、「RazorBack」を導入してSnortのログをリアルタイムで監視することもできる。RazorBackは「/var/log/snort/alert」のログをGUIで見やすいように表示しているだけなので、特別な設定も必要なく手軽に利用できる。
RazorBackはtarball、RPMパッケージのどちらも用意されているので、インストールはどちらか好みで行えばよい。
・tarballからのインストール
$ wget http://www.intersectalliance.com/projects/RazorBack /razorback-1.0.3.tar.gz $ tar xvzf razorback-1.0.3.tar.gz $ cd razorback-1.0.3 $ ./configure $ make $ su password: # make install |
・rpmからのインストール
$ wget http://www.intersectalliance.com/projects/RazorBack /razorback-1.0.3-1.i386.rpm $ su password: # rpm -ivh razorback-1.0.3-1.i386.rpm |
以上でインストールが完了する。RazorBackにより「/usr/local/bin/razorback」が作成されているはずだ。tarballでインストールした場合は
# /usr/local/bin/razorback |
RPMパッケージなら
# /usr/sbin/razorback(パスが通っていればrazorbackとだけ) |
とターミナルから入力すればRazorBackが起動する。なお、RazorBackを利用する際には、Snortの起動方法は
# /usr/local/bin/snort -D -A fast -c /etc/snort/snort.conf -u snort -g snort |
のように、起動時に「-A」オプションで「fast」を指定する必要がある。第1回で紹介したように「full」を指定していると正常に表示されないので注意しよう。
また、RazorBackは初期設定ではSnortのログファイルが「/var/log/snort/alert」に設定されている。ユーザー側でログファイルの保存場所を変更しているのであれば、RazorBackの設定メニューでパスを変更しなければならない。あとはRazorBackを起動していれば、リアルタイムでの監視が可能になる。
写真4■監視中のウィンドウ画面 |
写真5■ログファイルのパス設定はメニューの「設定」−「設定」をクリックすれば可能だ |
4/5 |