Snort có thể output vào các file log hoặc output ra console, nhiều administrator thích dùng các phần mềm của hãng thứ 3 (third party ) để tăng thêm chức năng giám sát của Snort, các phần mềm data database đều có thể dùng được, lưu ý trước khi cài đặt Snort muốn dùng database nào thì cần chỉ rõ khi cài đặt ví dùng dùng MySQL , khi biên dịch source thêm vào - -mysql
ví dụ: ./configure - - mysql
Output cấu hình theo kiểu
Output alert_syslog : <facility> <priority>
Các option sau là một trong nhưng syslog chuẩn và syslog mặc định là LOG_AUTH LOG_AUTH LOG_AUTHPRIV LOG_DAEMON LOG_LOCAL0 LOG_LOCAL1 LOG_LOCAL2 LOG_LOCAL3 LOG_LOCAL4 LOG_LOCAL5 LOG_LOCAL6 LOG_LOCAL7 LOG_USER
Các option ưu tiên sau cũng là các syslog ưu tiên chuẩn, mặc định là LOG_ALERT LOG_EMERG LOG_ALERT LOG_CRIT LOG_ERR LOG_WARNING LOG_NOTICE LOG_INFO LOG_DEBUG
Đây là câu cấu hình mẫu cho alert_syslog
và câu lệnh này dành cho bản windows của Snort nhìn vào cũng dễ hiểu output alert_syslog: host=192.168.1.100:80 LOG_AUTH LOG_ALERT 2.4.4.2 log_tcpdump
Log này sẽ định dạng sang dạng log_tcpdump, do có rất nhiều phần mềm có thể đọc được dạng log này, khi log sẽ có timestamp đính vào file name
ví dụ: câu lệnh cấu hình
output log_tcpdump /var/log/Snort/tcpdump.out 2.4.4.3 database
Khi log vào database , một khối luơng lớn thông tin của Snort sẽ được lưu trữ như các báo động (alert) , các host liên quan, các packet gây ra báo động, và ta dễ dàng log các báo động thật sự và các báo động lỗi, sai nhanh và nhiều hơn Đôi khi log vào database cũng quá tải gây ra hiện tượng thắt cổ chai dẫn đến 1 alert chỉ có thể được log trong một thời gian. Và phương pháp cấu hình Snort làm sao hợp lý nhất là các kinh nghiệm của các admin sau này ví dụ có thể dùng tuning hoặc thresholding để tạo hiệu quả hơn.
Cấu trúc của câu lệnh output ra database
output database: <log | alert>,<database type>,<parameter list>
Câu lệnh trên nhìn vào ta có thể hiểu ngay được ý nghĩa của nó, còn <parameter list> bao gồm các phần sau :
host
Địa chỉ IP của database server port
dbname=<database name> Loại database ta đang logging user
username Snort sử dụng để log trong database password
Tất nhiên là có user phải có pass để vào rồi sensor_name
Tên của sensor cấu hình, có thể thểm -I trong command line sử dụng IP address thay cho tên
encoding
Sử dụng mã hoá để log vào database, ví dụ kiểu hex,base64,ascii và khuyên dùng ascii
detail
Có thể chỉ định details level nào log vào database, ví dụ dùng full,fast và full được khuyên dùng nhất
Với các loại database cụ thể ta phải biên dịch cho đúng khi cài đặt như đã nói phần trước
CODEMySQL
./configure - -with-mysql POSTGRESQL
ODBC
./configure - -with-odbc MSSQL
Chỉ dùng cho bản windown, dùng odbc để log vào MSMSQL server ORACLE
./configure - -with-oracle
và các log khác ta sẽ coi trong phần khuyến cáo của database kèm theo 2.4.5 File Inclusion
Trong file Snort.conf, câu lệnh include chỉ cho Snort đọc các file sau từ include được lưu trong filesystem của Snort sensor, giống như trong lập trình vậy ví dụ :
$ include $RULE_PATH/bad-traffic.rules $ include $RULE_PATH/exploit.rules $ include $RULE_PATH/scan.rules
Các rules trên ta có thể download trên internet, khi down về ta muốn phân nhóm hoặc chỉnh sửa,độ ưu tiên các rules ta có thể cấu hình trong file
classification.config, file reference.config gồm các links tới web site với các thông tin cho tất cả các alerts, include nó rất hữu tích , nhanh gọn
ví dụ:
# include classification & priority settings include classification.config
# include reference systems include reference.config HVA