Activation Steps
ここでは,snort-2.9.3.1を例にして話を進めていきます。他のバージョンの場合はバージョン名を読みかえてください。まずパッチパッケージSnortSnmpMod-2.9.3.1-01.tgzを展開します。
$ tar xvzf SnortSnmpMod-2.9.3.1-01.tgz
このときディレクトリSnortSnmpMod-2.9.3.1-01の下にREADME.SNMP.txtとパッチファイルSnortSnmp-2.9.3.1-01.gzが作成されます。
次に以下の手順でSnortSnmp-2.9.3.1-01.gzをsnort-2.9.3.1のソースコードに適応し,パッケージを構築します。README.SNMPも参照してください。
$ tar xvzf snort-2.9.3.1.tar.gz
$ zcat <somewhere>/SnortSnmp-2.9.3.1-01.gz | patch -p0
$ cd snort-2.9.3.1
$ ./configure
$ make
$ sudo make install
NOTE:
- snort.confファイルを編集します。
snort.conf内にSNMPアウトプットプラグインに関する設定を記述する必要があります。パッチに含まれるsnort.confに一例を記載しております。
例
# The parameters for the SnmpTrap plugin module are
# alert, <SENSORID> {trap|inform} -v <SNMPVERSION> -c <COMMUNITY>
# <HOSTNAME>:<PORTNUMBER>
output trap_snmp: alert, 7, trap -v 2c -c myCommunity myTrapListener:162
Note. SNMPv1 trapはサポートしていません。SNMPv2cおよびSNMPv3を利用してください。snort.confに記述するSNMP関連パラメータはnet-snmpのパラメータとほぼ同一です。他のパラメータに関する情報は snmptrapd のマニュアルページを参照してください。
最後に,SnmpTrapListenrがsnort.confで指定したホスト,ポート番号上で起動しているか確認してください。受信したアラートをコンソール上に出力するsnmptrapd の起動方法の例は以下の通りです。
snmptrapd -P -p <PORTNUMBER> (ucd-snmp)
snmptrapd -f -Le udp:162 (net-snmp)
以上で設定は終了です。Snortを起動してください。
※弊社ではSnortSnmpに関するサポートのご提供はお受けしておりませんのでご了承ください。