SnortSnarfの導入


SnortをServer系に入れているのですが、Snortの吐き出すログを見ていると
結構直感的には分かりにくい（視覚的に分かりやすいものが欲しい）と思いました｡
そこで、SnortSnarfというPerlスクリプトを使用することにしました。これは、
Snortのログを整理してhtmlフォーマットで出力するものです。

1. Snortのインストール
   
2. SnortSnarfのインストール
   
    http://www.silicondefense.com/software/snortsnarf/
　　
　　から、SnortSnarf-020516.1.tar.gz（8/18日現在最新版）をダウンロードします｡

3. ~/work/snort以下で、SnortSnarfを解凍します｡

   tar -xvzf /src/SnortSnarf-020516.1.tar.gz

4. su - でrootになります。

5. /usr/local/snortsnarfディレクトリを作成します｡

   mkdir /usr/local/snortsnarf

6. /work/snort/SnortSnarf-020516.1以下からsnortsnarf.plを/usr/local/snortsnarf以下
   にコピーします｡

   cp snortsnarf.pl /usr/local/snortsnarf/

7. DebianにPerlのモジュールをapt-getを用いて入れます｡

    apt-get install perl-modules
    apt-get install libtimedate-perl
    apt-get install libperl-dev
    apt-get install libperl5.6
    apt-get install libtimedate-perl
    apt-get install libtime-modules-perl
    apt-get install libwww-perl

8. ~/work/snort/SnortSnarf-020516.1/include以下を/usr/lib/perl5/内にコピーします｡

   cp -a ~/work/snort/SnortSnarf-020516.1/include/* /usr/lib/perl5

9. ~/work/snort/SnortSnarf-020516.1/include/SnortSnarf以下を/usr/lib/perl5/内にコピーします｡

   cp -a ~/work/snort/SnortSnarf-020516.1/include/SnortSnarf/* /usr/lib/perl5

10. SnortSnarfの出力結果先を作成する

　　mkdir /usr/local/apache/htdocs/snort

11. root権限で（snortのログの権限をきちんと考えれば、rootじゃなくても良いかも）を
　　用いて、以下のコマンドを実行する｡

　　/usr/local/snortsnarf/snortsnarf.pl 「snortのalertをフルパスで」 -d 「出力先」

     実行例
     /usr/local/snortsnarf/snortsnarf.pl /var/log/snort/alert -d /usr/local/apache/ht
docs/snort/

12. http://www.honto.info/snort/index.htmlのような画面が作成される

あとは、これをcronなどを使って定期的に更新してあげれば見やすいかと思います｡