MRTG + snort

Павел Закляков

«Лучше один раз увидеть, чем сто раз услышать» гласит пословица. Многие вещи мы лучше понимаем, представляем и запоминаем, если видели их собственными глазами. При этом не всякое нами увиденное воспринимается одинаково хорошо. Очень сильно на процесс восприятия влияет наглядность. В этой статье будет рассмотрен именно такой вариант отображения данных об интенсивности атак, регистрируемых с помощью Snort. В качестве средства отображения используется MRTG.

Предполагается, что имеется СОА Snort, данные с одного или нескольких сенсоров которой заносятся в БД инцидентов. Необходимо организовать визуальное отображение среднего уровня атак в зависимости от времени. Для отображения удобнее всего использовать штатное средство большинства Linux-систем – MRTG (The Multi Router Traffic Grapher) [1, 2 стр. 52-53, 3 стр. 316, 4 стр. 208-216]. Предполагается, что MRTG у вас уже установлен. Рассмотрим его настройку. Конфигурационный файл MRTG обычно называется mrtg.cfg и находится в директории /etc/mrtg. Нам необходимо отредактировать или создать заново этот файл, добавив туда следующие строки:

mrtg.cfg

# Рабочая директория mrtg, где создаются поддиректории для отчётов, обычно она уже указана

WorkDir: /var/www/html/mrtg

# Выбор языка – вносит в заголовок html-cтроку с CONTENT="text/html; charset=koi8-r" и локализует html-файлы создаваемых отчётов

Language: russian

# Внешний файл, который будет являться источником данных для mrtg, записывается в обратных кавычках

Target[snort]:`/etc/mrtg/snort_stat.pl`

# Максимальное число атак в единицу времени. Значения выше игнорируются, нужно больше для наглядности

MaxBytes[snort]: 2000

AbsMax[snort]: 2000

# Заголовок окна браузера, тег <title> в html

Title[snort]: Статистика атак (данные Snort)

# Заголовок страницы с графиками

PageTop[snort]: <H1>Статистика атак (данные Snort)</H1>