■IDSの導入による不正侵入の検知とネットワーク管理
第2回:Snortを導入する その2
 前回はSnortの基本的なインストール方法について解説した。しかし実際にSnortを利用してみると、ログのチェックだけでも手間がかかり、どれがアタックなのかを判別するのは非常に面倒だ。そこで、今回はSnortのログを自動的に集計し、閲覧できるソフトの導入方法を解説する

●SnortSnarfによるログのHTML化

 Snortが不正な侵入や攻撃をルールセットと照らし合わせ、検知されたものをログとして記録するというのは前回紹介した通りだ。しかし、ログファイル(デフォルトでは「/var/log/snort」以下)を直接チェックするのは手間のかかる作業となる。そこで今回は、ログファイルを見やすい形でチェックできるように、Snortのログファイルを自動的に集計し、HTMLファイルとして保存する「SnortSnarf」について解説する。SnortSnarfを導入すれば、ブラウザから手軽に集計されたログを閲覧することができるようになる。

●事前準備−Perlモジュールのインストール

 SnortSnarfを利用するには、事前にPerlモジュールである「Time::JulianDay」をインストールしておく必要がある。SnortSnarfアーカイブを展開すると、「Time-modules」というディレクトリがあるので、そこからPerlモジュールをインストールするか、CPANから直接インストールするかの、どちらかを選択すればよいだろう。CPAN経由で初めてインストールする場合は、メールサーバでのウイルススキャン - Postfix編 - を参考にしてほしい。

・CPANからTime::JulianDayをインストールする場合

# perl -MCPAN -e shell

cpan shell -- CPAN exploration and modules installation (v1.59_54)
ReadLine support available (try 'install Bundle::CPAN')

cpan> install Time::JulianDay ←Time::JulianDayをインストール

〜省略〜

cpan> exit ←インストールが完了したらexitで終了させる
Lockfile removed.

・Time-modulesディレクトリからインストールする場合

※SnortSnarfを展開したディレクトリにて

$ cd Time-modules
$ perl Makefile.PL
$ make ; make test
$ su
password:
# make install

1/5 NEXT