Summary
Snortのルールファイル更新の自動化ツール書式
置換対象となるSIDに存在する "replacethis" を "withthis" に置換するmodifysid SID "replacethis" | "withthis"
置換対象となるSID1, SID2, SID3, ... に存在する "replacethis" を "withthis" に置換する
modifysid SID1, SID2, SID3, ... "replacethis" | "withthis"
全てのSIDに存在する "replacethis" を "withthis" に置換する
modifysid * "replacethis" | "withthis"
対象となる SID を使用できるようにする
enablesid SID
対象となる SID1, SID2, SID3, ... を使用できるようにする
enablesid SID1, SID2, SID3, ...
対象となる SID を使用できないようにする
disablesid SID
対象となる SID1, SID2, SID3, ... を使用できないようにする
disablesid SID1, SID2, SID3, ...
crontabに記述
毎日午前 2 時 30 分に oinkmaster を起動/etc/snort のルールファイルを更新
更新前のルールファイルを /etc/snort/bk に圧縮して保存
30 2 * * * oinkmaster.pl -o /etc/snort -b /etc/snort/bk 2>&1 > /dev/null
追記
Debian で snort の update時の提案パッケージで発見Reference
Japan Snort Users Group - oinkmasterhttp://www.snort.gr.jp/docs/use_oinkmaster/
SourceForge - Oinkmaster
http://oinkmaster.sourceforge.net/