3-й этап

Конфигурирование параметров вывода. Здесь мы указываем, куда у нас будет осуществляться вывод, в БД или в обычный лог-файл. Если в БД, то можно задать различные параметры, если в файл, то можно задать имя файла. Подробнее о ведении логов в БД и настройках, я думаю, я напишу в следующих статьях, а пока мы попытаемся настроить вывод в обычный файл, как и планировалось. (Замечание: напоминаю, что для вывода в БД необходима компиляция с поддержкой той или иной БД). Для вывода в файл надо оставить всё как есть по умолчанию и создать директорию, куда будут вестись логи – это /var/log/snort. Необходимо проследить, чтобы у Snort было достаточно прав на запись в неё.

4-й этап

Выбор тех или иных уже готовых правил обычно происходит с появлением некоторого опыта, поэтому мы оставим всё как есть по умолчанию.

После внесения изменений мы сохраняем конфигурационный файл и запускаем Snort от имени суперпользователя командой:

# /usr/local/bin/snort -o -i eth0 -d -c /etc/snort/snort.conf

(вместо eth0 можно указать любой другой прослушиваемый интерфейс), использованные опции означают:

n  -o – сменить порядок применения правил с «Alert –> Pass –> Log order на Pass –> Alert –> Log order», это ускоряет несколько работу.

n  -i eth0 – слушать указанный интерфейс. Можно опустить, если интерфейс один в системе.

n  -d – выводить содержимое уровня приложения в пакетах, если стоит режим избыточности вывода или ведения учёта пакетов (дополнительная информация нам не помешает).

n  -с /etc/snort/snort.conf – использовать указанный конфигурационный файл.

Имеется ещё одна полезная опция «-l имя_директории» – она позволяет задавать ведение логов в какую-либо конкретную директорию. По умолчанию это /var/log/snort, поэтому мы не стали задавать этот излишний параметр.

После этого, если программу не прерывать, то она висит на консоли и ловит атаки – это не самый удобный способ запуска, но для понимания происходящего и отладки – самый лучший. При этом на каждый IP-адрес, с которого идут атаки, создаётся поддиректория в директории, куда ведутся логи, и там создаётся файл с коротким названием сокращённо от протокола и портов зарегистрированной атаки, например: TCP:3739-1080 или TCP:21-21, или ICMP_ECHO. В частности, пока я отлаживал запуск в процессе написания этой статьи, за несколько секунд успело зарегистрироваться несколько реальных атак.

Рисунок 7. Вид директории, куда ведутся логи