SnortSnarf を遣ってみる ・SnortSnarf http://www.silicondefense.com/software/snortsnarf/index.htm 参考 ・snortsnarf でラクする http://www.hawkeye.ac/micky/network/snortsnarf.html ・ZDNet エンタープライズヘルプデスク セキュリティ How-To Snort を導入する その 2 http://www.zdnet.co.jp/help/howto/security/ids/02/index.html ・書庫を取得して展開 rin@mariko[~/cmp]% wget http://www.silicondefense.com/software/snortsnarf/SnortSnarf-021111.1.tar.gz rin@mariko[~/cmp]% tar xzf SnortSnarf-021111.1.tar.gz rin@mariko[~/cmp]% cd SnortSnarf-021111.1 ・インストール( ていうかコピー ) rin@mariko[~/cmp/SnortSnarf-021111.1]% su bash-2.04# mkdir /usr/local/snortsnarf bash-2.04# cp snortsnarf.pl /usr/local/snortsnarf/ bash-2.04# cp -r include/ /usr/local/snortsnarf/ ・Time モジュールをインストール bash-2.04# cd Time-modules/ bash-2.04# ls -a ./ ../ ・tarball には含まれてないみたいなので CPAN から取得 bash-2.04# cd .. bash-2.04# perl -MCPAN -e shell bash-2.04# perl -MCPAN -e shell You have no /root/.cpan/sources/MIRRORED.BY I'm trying to fetch one LWP not available CPAN: Net::FTP loaded ok Fetching with Net::FTP: ftp://ftp.perl.org/pub/CPAN/MIRRORED.BY Couldn't fetch MIRRORED.BY from ftp.perl.org Fetching with Net::FTP ftp://ftp.perl.org/pub/CPAN/MIRRORED.BY.gz Couldn't fetch MIRRORED.BY.gz from ftp.perl.org Trying with "/usr/local/bin/lynx -source" to get ftp://ftp.perl.org/pub/CPAN/MIRRORED.BY しようとしたけどここで刺さった。 殺す 終了しました ・CPAM web サイトから取得 http://search.cpan.org/ 以下のモジュールが必要らしい JulianDay Timezone ParseDate こんな感じ bash-2.04# ls /usr/lib/perl5/5.6.1/Time JulianDay.pm ParseDate.pm gmtime.pm tm.pm Local.pm Timezone.pm localtime.pm ・実行 bash-2.04# time ./snortsnarf.pl -d /home/rin/public_html/snort /var/log/snort/alert real 0m0.775s user 0m0.630s sys 0m0.070s bash-2.04# まだログの量がたいしたことないからあまり時間がかからないらしい。 ・cron に設定 bash-2.04# crontab -l 0 11 * * * cd /usr/local/snortsnarf; ./snortsnarf.pl -d /home/rin/public_html/snort /var/log/snort/alert