23
2.3.4. Thành phần cảnh báo/logging
Cuối cùng sau khi các luật đã phù hợp với dữ liệu, chúng sẽ được chuyển tới thành phần cảnh báo và ghi lại (alert and loggin component). Cơ chế log sẽ lưu trữ các gói tin đã kích hoạt các luật còn cơ chế cảnh báo sẽ thông báo các phân tích bị thất bại. Giống như Preprocessors, chức năng này được cấu hình trong tập tin snort.conf, có thể chỉ định cảnh báo và ghi lại trong tập tin cấu hình nếu muốn kích hoạt.
Dữ liệu là giá trị cảnh báo, nhưng có thể chọn nhiều cách để gửi các cảnh báo này cũng như chỉ định nơi ghi lại các gói tin. Có thể gửi cảnh báo thô ng qua SMB (Server Message Block) pop-up tới máy trạm Windows, ghi chúng dưới dạng logfile, gửi qua mạng thông qua UNIX socket hoặc thông qua giao thức SNMP. Cảnh báo cũng có thể lưu trữ dưới dạng cơ sở dữ liệu SQL như MySQL hoặc PostgerSQL. Thậm chí một vài hệ thống của các hãng thứ 3 có thể gửi cảnh báo thông qua SMS tới điện thoại di động.
Có rất nhiều các add-on giúp người quản trị nhận các cảnh báo cũng như phân tích các dữ liệu một cách trực quan.
The Analysis Console for Intrusion Detection (ACID): được biết như một add-on phân tích cú pháp log dựa trên PHP, search engine và là một front-end phân tích log của Snort.
http://www.andrew.cmu.edu/user/rdanyliw/snort/
SGUIL (Snort GUI for Lamerz) là một công cụ phân tích tuyệt với khác.
Oinkmaster: là một Pert script giúp cập nhật các luật của Snort và
comment nếu không muốn sau mỗi lần cập nhật.
IDS Policy Manager là một giao diện quản lý dành cho Windows XP.
SnortSnarf: Là một chương trình viết bằng Pert giúp tạo và cung cấp các
bản báo cáo log gần đây một cách tổng hợp dưới dạng HTML.
Swatch: http://swatch.sourceforge.net là một công cụ giám sát syslog theo thời gian thực và gửi cảnh báo bằng email.
24
BASE: http://sourceforge.net/projects/secureideas/ Basic Analysis and Security Engine là một plug-in phân tích và truy vấn các c ảnh báo của Snort rất đáng giá.