SnortSnarfでログを表示

snortが吐き出したログを解析して表示してくれるソフトが、いくつかあるみたいですが、その中で設置が簡単なSnortSnarfを使用してみます。
実行してみると、ログの解析に時間が掛かり、おまけにperlで書かれているため、サーバーの負荷になり大量のログを処理するのには、向いていないようです。

SnortSnarfのインストール

面倒なので、portsからインストールしました。
/usr/ports/security/snrotsnarf/からインストール出来ます。

portsからインストールすると、/usr/local/binにインストールされます。

snrotsnarfの起動

とりあえず、解析してhtml化したデータを格納して、観覧させるためのディレクトリが必要になります。
適当な場所にディレクトリを作って、観覧出来るように、apacheの設定等も済ませて置いてください。


hoge# mkdir /home/snort
hoge# chown -R snort:snort /home/snort

そして、起動・・・。


hoge# snortsnarf -d /home/snort /var/log/snort/alert

/home/snortがhtml化したデータが格納されるディレクトリ、/var/log/snort/alertが解析元のファイル。

しかし、なぜかエラーが出てきてしまい、起動出来ず・・・。


Can't locate IPObfuscater.pm in @INC (@INC contains: /usr/local/libdata/snortsnarf/
 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/
 site_perl/5.005/i386-freebsd /usr/local/lib/perl5/site_perl/5.005 . /usr/local/
 libdata/snortsnarf//SnortSnarf) at /usr/local/bin/snortsnarf line 92.
BEGIN failed--compilation aborted at /usr/local/bin/snortsnarf line 92.
hoge#

何やらIPObfuscater.pmの動作で(92行目)失敗しているようなので、思い切ってコメントアウト（笑）。

以下/usr/local/bin/snortsnarfの修正した部分。

# list here the specific module files we know we need, others will be loaded with Alluse Filter;
use BasicFilters;
use TimeFilters;
use Input;
use SnortRules;
#use IPObfuscater;
use HTMLMemStorage;
use HTMLAnomMemStorage;
use HTMLOutput;

これで、何とか動作してくれました。

起動時の画像
SNOFT-PAGE.GIF - 28,834BYTES

BACK