Инструменты безопасности с открытым исходным кодом


Конфигурирование Snort для достижения максимальной производительности - часть 3


Здесь вы указываете программе, как обрабатывать данные сигналов тревоги. Имеется несколько модулей вывода, которые можно применять в зависимости от требуемого формата данных: Syslog, Database и новый модуль Unified, который поддерживает универсальный бинарный формат, полезный для импорта данных другими программами. Общий формат для конфигурирования модулей вывода таков:

output имя_модуля: конфигурация опции

где имя_модуля следует заменить на alert_syslog, database или alert_unified в зависимости от используемого модуля.

Опциями конфигурации для различных модулей вывода служат:

  • Syslog

    Для систем UNIX/Linux нужно использовать следующую директиву:

    output alert_syslog: LOG_AUTH LOG_ALERT

    Для Windows-систем можно использовать любой из следующих форматов:

    output alert_syslog: LOG_AUTH LOG_ALERT output alert_syslog: host=имя_хоста, LOG_AUTH LOG_ALERT output alert_syslog: host=имя_хоста:порт, LOG_AUTH LOG_ALERT

    где имя_хоста и порт нужно заменить, соответственно, на IP-адрес и порт сервера Syslog.

  • Database

    Общий формат для настройки вывода в базу данных таков:

    output database: log, тип_базы_данных, user=имя_пользователя password=пароль dbname=имя_базы_данных host=адрес_базы_данных

    где тип_базы_данных заменяется одной из допустимых для Snort разновидностей баз данных (MySQL, postgresql, unixodbc или mssql), имя_пользователя - допустимым именем пользователя машины базы данных, а пароль - его паролем. Переменная dbname задает имя базы данных для протоколирования. Наконец, адрес_базы_данных является IP-адресом сервера базы данных. Не рекомендуется устанавливать Snort и базу данных на один сервер. Помимо того, что безопаснее держать данные сигналов тревоги на другом компьютере, работа Snort и базы данных на одной машине будет существенно снижать производительность. Хотя настройка баз данных не является темой книги, базовая конфигурация базы данных MySQL для Snort и других программ обсуждается в лекции 8.

  • Unified

    Это основной бинарный формат быстрого протоколирования и сохранения для будущего использования.


    Начало  Назад  Вперед



    Книжный магазин