Snort 로깅 옵션
옵션 |
설명 |
-l |
로그 파일을 저장할 디렉터리 경로 |
-h |
홈 서브넷 |
-b |
로그를 2진 형태로 저장한다. |
-L |
2진 로그 파일 이름 |
snort -dev -l /var/adm/snort/logs -h 192.168.1.0/24 |
-위 옵션을 사용할 경우 /var/adm/snort/logs 디렉토리에 해당 IP 주소명의 디렉토리가 생성되고 세션별로 파일이 생성된다.
ex)TCP:3039-80 (TCP 프로토콜,출발지 포트:3039, 목적지 포트 80)
※로그를 2진 형태로 저장하면 데이터를 사람이 읽기 편한 형태로 로그를 바꿀 필요가 없기 때문에 Snort의 패킷 수집 속도가 빨라진다.
Snort 2진 형태 로그
snort -l /var/adm/snort/logs -b
-b옵션을 사용하여 로그를 저장할 경우 Snort는 /var/adm/snort/logs 디렉토리에 단일 파일로 pcap 형식(2진 로그)으로 로그를 저장한다.
2진형식으로 저장된 로그를 디코딩 할 때는 -r 옵션을 사용하여도 되고 BPF필터를 적용하고 -v 스위치를 사용하여 화면에 출력할 수도 있다.
#snort -de -r snort.log.1048731452
#snort -v -de -r snort.log.1048731452 host 192.168.1.50 and port 80
로깅 포맷
-로깅 플러그인은 snort.conf 파일의 로깅 부분에서 설정할 수 있다.
-명령행 스위치를 통해 플러그인을 지정하면 snort.conf 설정값을 덮어 쓰기 때문에 경고 메시지가 출력된다.
출력 플러그인 | |
플러그인 |
설명 |
CSV |
(Comma Separated Values) 데이터베이스 또는 스프레드시트에서 쉽게 읽어 들일 수 있는 형태로 경고 데이터를 저장한다. |
Null |
Alert Facility를 통해 경고를 보내긴 하지만 로그 파일을 만들지 않는다. |
Tcpdump |
로그 파일을 TCPDump 포맷으로 출력한다. |
SnmpTrap |
Snort가 SNMP Trap을 NMS로 보낼 수 있도록 한다. |
Unified |
Snort 이벤트를 기록하는 방법 중에서 가장 빠른 방법이다. 이 플러그인은 FAST형식의 2진 데이터를 로그로 저장한다. Barnyard 프로그램은 이 Unified 포맷으로 된 파일을 읽어 여러 다른 포맷으로 출력한다. |
XML |
XML 플러그인은 Snort가 파일 또는 네트워크에 SNML(Simple Network Markup Language,Snort Markup Language) 형태로 로그를 기록하도록 한다. |
데이터베이스 로깅
데이터베이스 플러그인은 경고와 로깅을 저장할 때 조금다른 방법을 사용한다. 일반적으로 log 키워드는 log facility로의 링크를 의미하고, alert 키워드는 alert facility로의 링크를 의미하며 alert옵션은 로그로도 남긴다. 하지만 데이터베이스 플러그인은 log로 설정되어 있으면 log와 alert 규칙 모두로부터 출력을 받고 alert로 설정되어 있으면 오직 alert 규칙으로만 출력을 받는다.
snort.conf ex:) output database: alert, mysql, user=snort password=x dbname=snort host=mysql
※전처리기에서 생성한 경고는 데이터베이스 플러그인이 alert로 설정되어 있을 때만 데이터베이스에 기록되고 log로 설정되어 있을 경우는 기록되지 않고 경고 메시지를 발생시킨 패킷을 디코딩한 데이터만 전송된다. 따라서, log 모드에서는 전처리기의 출력을 리포팅하기 위해서 snortsnarf 같은 리포팅 툴이 필요하다.
데이터베이스 구축
-데이터베이스를 사용하기 전에 Snort 데이터를 저장할 테이블을 만들어야하는데 Snort의 contrib 디렉터리에는 create_mysql 또는 create_oracle과 같은 데이터베이스 생성 스크립트가 들어있다.
'툴 > Snort' 카테고리의 다른 글
Snort 명령 사용 (0) | 2010.11.30 |
---|---|
Snort 변수 (0) | 2010.11.30 |
Snort 모드 (0) | 2010.11.30 |
Snort를 스니퍼로 사용 (0) | 2010.11.30 |
Snort 플러그인 (0) | 2010.11.30 |