オープン・ソース SNORT の構成

オープン・ソース SNORT デバイスで syslog を構成するには、以下を実行します。

このタスクについて

以下の手順は、Red Hat Enterprise を実行するシステムに該当します。 他のオペレーティング・システムでは、手順が異なる場合があります。

手順

  1. リモート・システムで SNORT を構成します。
  2. snort.conf ファイルを開きます。
  3. 以下の行のコメントを外します。

    output alert_syslog:LOG_AUTH LOG_INFO

  4. ファイルを保存して終了します。
  5. 以下のファイルを開きます。

    /etc/init.d/snortd

  6. 例に示すように、以下の行に -s を追加します。
    daemon /usr/sbin/snort $ALERTMODE 
    $BINARY_LOG $NO PACKET_LOG $DUMP_APP -D 
    $PRINT_INTERFACE -i $i -s -u $USER -g 
    $GROUP $CONF -i $LOGIR/$i $PASS_FIRST
    daemon /usr/sbin/snort $ALERTMODE 
    $BINARY_LOG $NO_PACKET_LOG $DUMP_APP -D 
    $PRINT_INTERFACE $INTERFACE -s -u $USER -g 
    $GROUP $CONF -i $LOGDIR
  7. ファイルを保存して終了します。
  8. 以下のコマンドを入力して、SNORT を再始動します。

    /etc/init.d/snortd restart

  9. syslog.conf ファイルを開きます。
  10. 以下のコードが反映されるようにファイルを更新します。

    auth.info@<IP Address>

    ここで、 <IP Address> は、ログを送信する先のシステムです。

  11. ファイルを保存して終了します。
  12. syslog を再始動します。

    /etc/init.d/syslog restart

次に実行するタスク

これで、 QRadarでログ・ソースを構成できます。