Các module output cho phép snort linh động hơn nhiều trong việc định dạng và biểu diễn đầu ra tới ngƣời dùng. Các module output chạy khi các cảnh báo hoặc các hệ thống log của sonrt đƣợc gọi. Dạng của các câu lệnh trong file các luật này rất giống với định dạng của preprocessors
Nhiều plugins đầu ra có thể đƣợc quy định trong file cấu hình sonrt. Khi nhiều plugin cùng loại (log, alert) đƣợc quy định, chúng đƣợc xếp và đƣợc gọi nối tiếp khi một sự kiện xảy ra. Bởi vì với các hệ thống cảnh báo và log chuẩn, các output plugin gửi dữ liệu của chúng đến /var/log snort bằng mặc định hoặc tới một thƣ mục ngƣời dùng trực tiếp (dùng tuỳ chọn dòng lệnh -l)
Các module output đƣợc tải ngay thời gian chạy chƣơng trình bằng việc quy định từ khoá đầu ra trong file luật:
output <name>: <options>
2.3.5.1 Alert_syslog
Module này gửi các cảnh báo đến syslog facility ( rất giống tuỳ chọn dòng lệnh -s), nó cũng cho phép ngƣời dùng xác định logging facility và ƣu tiên trong các file luật sonrt, làm cho việc log các cảnh báo linh động hơn.
Định dạng: alert_syslog:<facility> <priority><options>
2.3.5.2 Alert_fast
Tuỳ chọn này sẽ in các cảnh báo snort dƣới dạng một dòng trong một file đầu ra. Đây là phƣơng thức cảnh báo nhanh so với các cảnh báo đầy đủ bởi vì không cần phải in trong file đầu ra
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Định dạng: alert_fast: <output filename>
2.3.5.3 Alert_full
In ra các thông điệp cảnh báo snort với các thành header đầy đủ. Các cảnh báo này sẽ đƣợc ghi trong thƣ mục log mặc định (/var/log/snort) hoặc thƣ mục log đƣợc chỉ ra tại dòng lệnh.
Bên trong thƣ mục log, một thƣ mục cho mỗi IP sẽ đƣợc tạo ra. Việc tạo ra các file này sẽ làm cho snort chậm lại một cách đáng kể. Phƣơng pháp này không đƣợc khuyến khích cho tất cả các tình huống trừ khi lƣu lƣợng là nhẹ.
Định dạng: alert_fast: <output filename>
2.3.5.4 Cơ sở dữ liệu
Module này gửi dữ liệu snort tới các cơ sở dữ liệu SQL. Các đối số cho plugin này là tên cơ sở dữ liệu log tới và một danh sách các thông số. Các thông số này đƣợc quy định với thông số định dạng =đối số.
Định dạng: Database: <log alert>, <database type>, <paramate list>
2.3.5.5 CSV
CSV output plugin cho phép dữ liệu cảnh báo đƣợc viết dƣới dạng dễ ghi lên một cơ sở dữ liệu. Plugin này yêu cầu 2 đối số, một đƣờng dẫn đầy đủ đến file và tùy chọn cấu hình đầu ra.
Định dạng: output alert_CSV: <filename> <format>
2.3.5.6 Unified
Plugin đầu ra unified đƣợc thiết kế là một phƣơng pháp có thể là nhanh nhất để log các sự kiện snort. Nó log các sự kiện vào trong một file cảnh báo và file log gói tin. File cảnh báo chứa các chi tiết mức cao của một sự kiện (các ip, giao thức, cổng, message id). File log này chứa các thông tin gói tin đã đƣợc chi tiết hóa.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Định dạng: output alert_unified: <file name> output log_unified: <file name>
2.3.5.7 Log Null
Tùy chọn có tác dụng khi tạo ra các luật để cảnh báo những dạng lƣu lƣợng nhất định nhƣng không log. Log_null đƣợc đƣa vào từ snort 1.8.2. Nó tƣơng đƣơng với dùng tùy chọn dòng lệnh –N
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
CHƢƠNG III: ỨNG DỤNG TRIỂN KHAI GIẢI PHÁP IDS VỚI PHẦN MỀM SNORT