Snort - memo.xight.org

Summary

Snortのルールファイル更新の自動化ツール

置換対象となるSIDに存在する "replacethis" を "withthis" に置換する

modifysid SID                    "replacethis" | "withthis"

置換対象となるSID1, SID2, SID3, ... に存在する "replacethis" を "withthis" に置換する

modifysid SID1, SID2, SID3, ...  "replacethis" | "withthis"

全てのSIDに存在する "replacethis" を "withthis" に置換する

modifysid *                      "replacethis" | "withthis"

対象となる SID を使用できるようにする

enablesid SID

対象となる SID1, SID2, SID3, ... を使用できるようにする

enablesid SID1, SID2, SID3, ...

対象となる SID を使用できないようにする

disablesid SID

対象となる SID1, SID2, SID3, ... を使用できないようにする

disablesid SID1, SID2, SID3, ...

  毎日午前 2 時 30 分に oinkmaster を起動
  /etc/snort のルールファイルを更新
  更新前のルールファイルを /etc/snort/bk に圧縮して保存

30 2 * * * oinkmaster.pl -o /etc/snort -b /etc/snort/bk 2>&1 > /dev/null

Debian で snort の update時の提案パッケージで発見

  Japan Snort Users Group - oinkmaster
  http://www.snort.gr.jp/docs/use_oinkmaster/
  SourceForge - Oinkmaster
  http://oinkmaster.sourceforge.net/