myguisystem# ssh auditedsystem

..

auditedsystem# /bin/su -

[password]

auditedsystem# export DISPLAY=myguisystem:80

auditedsystem# snare &

И еще одна полезная возможность заложена в SNARE – это отправка логов на удаленный узел по протоколу UDP, которая может помешать хакерам скрыть свое пребывание чисткой логов, хотя при контроле большого количества машин и параметров это может существенно забить сеть пакетами. Для этого в «Auditing Control» выбираем пункт «Log events to the networked host and a local file» и далее устанавливаем имя узла и порт (по умолчанию 6161), которому будут отправляться сообщения. На сервере, предназначенном для сбора всех логов, запускаем Perl-скрипт auditserver.pl (лежит в пакете snare-core), в котором нужно изменить переменную $ServerPort, установив нужное значение, совпадающее с таковым у клиентов, и каталог, куда будут складываться сообщения. Cервер в каталоге /var/log/audit создает отдельные файлы для каждого клиента вида YYYYMMDD-host.name.LinuxAudit. То есть в итоге получаем несколько файлов вида /var/log/audit/20050821-host.com.LinuxAudit. В дальнейшем эти файлы можно заархивировать для истории или распаковать при помощи скрипта extract.pl, который можно найти в документе «Guide to SNARE for Linux», потом просто запуская его вручную или при помощи cron.

#cat  /var/log/audit/20050821-host.com.LinuxAudit | ./extract.pl

На данный момент не поддерживается какая-либо защита при передаче файлов журналов, что дает возможность злоумышленику подделать логи либо провести элементарную DOS-атаку, поэтому пользоваться возможностью отправки логов в таком варианте необходимо осторожно и в защищенных сетях. Хотя стоит отметить, что отправка журналов на централизованый сервер разработчиками ориентируется больше при взаимодействии с SNARE Server (http://www.intersectalliance.com/snareserver/index.html). Основное назначение которого сбор и анализ информации, поставляемой с различных систем. С его демо-версией можно ознакомиться на сайте проекта. Для централизованого сбора и отправки журналов с других систем с ним в паре будет работать SNARE Reflector, разработка которого ведется в настоящее время.