memo.xight.org

日々のメモ

カテゴリ : Snort

1ページ目 / 全1ページ

Oinkmaster

Summary

  Snortのルールファイル更新の自動化ツール

書式

  置換対象となるSIDに存在する "replacethis" を "withthis" に置換する

modifysid SID                    "replacethis" | "withthis"

  置換対象となるSID1, SID2, SID3, ... に存在する "replacethis" を "withthis" に置換する

modifysid SID1, SID2, SID3, ...  "replacethis" | "withthis"

  全てのSIDに存在する "replacethis" を "withthis" に置換する

modifysid *                      "replacethis" | "withthis"

  対象となる SID を使用できるようにする

enablesid SID

  対象となる SID1, SID2, SID3, ... を使用できるようにする

enablesid SID1, SID2, SID3, ...

  対象となる SID を使用できないようにする

disablesid SID

  対象となる SID1, SID2, SID3, ... を使用できないようにする

disablesid SID1, SID2, SID3, ...

crontabに記述

  毎日午前 2 時 30 分に oinkmaster を起動
  /etc/snort のルールファイルを更新
  更新前のルールファイルを /etc/snort/bk に圧縮して保存

30 2 * * * oinkmaster.pl -o /etc/snort -b /etc/snort/bk 2>&1 > /dev/null

追記

  Debian で snort の update時の提案パッケージで発見

Reference

  Japan Snort Users Group - oinkmaster
  http://www.snort.gr.jp/docs/use_oinkmaster/
  SourceForge - Oinkmaster
  http://oinkmaster.sourceforge.net/