May 27, 2009

SnortAlog で snort のレポート出力

Snort を入れてはあるものの。 レポートはデイリーでメールされてくるものの。 最近は全く見ていなかったりする。 Snort を入れてある意味が全然無いので、Snort のレポートに目を通す気になるようにすべく SnortAlog を入れてみた。

SnortAlog : IDS/IPS and Firewall log Analyzer
http://jeremy.chartier.free.fr/snortalog/

SnortAlog のインストール

Debian にインストールしたときのログ。 HTML 形式のレポート作成には GD Graph が必要なので、予め apt でインストールしておく。 

$ apt-get install libgd-graph-perl
Reading package lists... Done
Building dependency tree... Done
The following extra packages will be installed:
  libgd-gd2-noxpm-perl libgd-text-perl libgd2-noxpm
Suggested packages:
  ttf-dustin libgd-tools
The following NEW packages will be installed:
  libgd-gd2-noxpm-perl libgd-graph-perl libgd-text-perl libgd2-noxpm
0 upgraded, 4 newly installed, 0 to remove and 3 not upgraded.
Need to get 835kB of archives.
After unpacking 2232kB of additional disk space will be used.
Do you want to continue [Y/n]? y

  (SNIP)

Setting up libgd-text-perl (0.86-3.1) ...
Setting up libgd-graph-perl (1.43.08-2.1) ...
$ wget http://jeremy.chartier.free.fr/snortalog/downloads/snortalog/snortalog_v2.4.2.tgz
--23:38:54--  http://jeremy.chartier.free.fr/snortalog/downloads/snortalog/snortalog_v2.4.2.tgz
           => `snortalog_v2.4.2.tgz'

  (SNIP)

23:38:59 (165.67 KB/s) - `snortalog_v2.4.2.tgz' saved [795050/795050]

$ tar zxvf ./snortalog_v2.4.2.tgz 
snortalog/CHANGES
snortalog/conf/

  (SNIP)

snortalog/picts/p_27.gif
snortalog/snortalog.pl
$ mv ./snortalog ./snortalog-2.4.2
$ mv ./snortalog-2.4.2 /opt
$ ln -s /opt/snortalog-2.4.2 /opt/snortalog
$

デイリー HTML レポートの作成

以下の様なシェルスクリプトをでっち上げてデイリーで HTML レポートを作成する。 

$ cat /etc/cron.daily/snortalog
#!/bin/sh

SNORTLOG_DIR=/var/log/snort
SNORTALOG_HOME=/opt/snortalog
OUTPUT_DIR=/var/www/html/snort
REPORT_HTML=index.html

DATE=`date --date 'yesterday' +'%Y%m%d'`

mkdir -p ${OUTPUT_DIR}/${DATE}/picts

cd ${SNORTLOG_DIR}
gzip -d ./alert.1.gz

cd ${SNORTALOG_HOME}
./snortalog.pl -file ${SNORTLOG_DIR}/alert.1 -3 -r -pictsdir ../picts -g gif -report -o ${OUTPUT_DIR}/${DATE}/${REPORT_HTML}
mv ./*.gif ${OUTPUT_DIR}/${DATE} 

cd ${SNORTLOG_DIR}
gzip ./alert.1

Posted in Misc | WriteBacks (2) | このエントリーを含むはてなブックマーク はてなブックマーク | この記事をクリップ! livedoor クリップ | Delicious Bookmark this on Delicious
TrackBack ping me at
http://www.in-vitro.jp/blog/index.cgi/Misc/20090527_01.trackback
Post a comment

writeback message: Ready to post a comment.