И запускаем, набрав snare в окне терминала или через меню KDE (в Gnome «Система  Snare  Event Logging»).

Инсталляция под Windows заключается в получении одного файла SnareSetup.exe и запуске его обычным способом.

Конфигурация

Все настройки демона хранятся в файле /etc/audit/audit.conf с вполне понятной структурой. Лучший способ изменения настроек – использование графической утилиты SNARE (рис. 1)

Рисунок 1. Графическая утилита позволяет просмотреть события в реальном времени и настроить систему.

После запуска которой заходим в пункт «Setup  Audit Configuration» и устанавливаем необходимые параметры во вкладках:

n  Auditing Control – метод контроля (Objectives или Kernel), место, куда отправлять логи (локальный файл, на удаленный хост или оба варианта) и параметры настройки сети, необходимые для посылки логов (имя локального узла, IP-адрес или DNS-имя удаленного, UDP-порт на удаленном компьютере, куда будут посылаться сообщения).

n  Kernel events – тип ревизии, может быть или события ядра, или настроенные пользователем фильтры. В данном пункте выбираются все те системные вызовы, которые необходимо отслеживать, при этом в журнал будут записаны все такие вызовы без какой-либо дополнительной фильтрации, при установке большего количества контролируемых вызовов журнал начнет быстро заполняться, причем, как правило, будет много лишней информации. Этот метод ревизии больше подходит для классического «C2»-стиля аудита, в котором все запросы должны быть зарегистрированы.

n  Objectives (рис. 2) – более усовершенствованный метод аудита через определение объектов контроля и слежения за всеми изменениями состояния или обращения к ним.

Рисунок 2. Просмотр объектов контроля и слежения

При этом возможно задание любых правил и любого количества объектов. Для этого нажимаем «Add an Objective» и заполняем значения пяти параметров. Среди которых индентификация отслеживаемого события (открытие, запись, считывание, удаление, модификация атрибутов, запуск или остановка программ, файлов или каталогов, открытые или разрешенные сетевые соединения), путь или имя объекта (возможно применение регулярных выражений), фильтр событий (удалось, не удалось или оба), пользователи и уровень опасности, который будет соответствовать при наступлении этого события (critical, priority, warning, information и clear). Первоначальная настройка подходит для большинства случаев, т.к. контролирует наиболее важные системные файлы вроде /etc/passwd, /etc/shadow, создание новых пользователей и групп, подключение по сети, использование su, изменение файлов и каталогов /sbin, /usr/sbin, /bin и /usr/bin, изменения в /etc и /var/log и пр. Например, два нижеприведенных правила зарегистрируют попытку доступа к файлу /etc/shadow любым пользователем, кроме root, при этом в зависимости от результата событию будет присвоен разный уровень опасности. Естественно, что если такая попытка будет успешной, то это свидетельствует о проблемах и такому событию необходимо присвоить наивысший уровень (основные параметры файла описаны в документе «Guide_to_SNARE_for_Linux.pdf» в разделе «Appendix C – Configuration File Description»).