Activation Steps
ここでは,snort-2.0.2を例にして話を進めていきます。他のバージョンの場合はバージョン名を読みかえてください。まずSnortSnmp-2.0.2.tar.gz を展開します。
$ tar xvzf SnortSnmp-2.0.2.tar.gz
このときディレクトリSnortSnmp-2.0.2の下にREADME.SNMPとパッチファイルSnortSnmp-2.0.2.patchが作成されます。
次に以下の手順でSnortSnmp-2.0.2.patch.gzをsnort-2.0.2のソースコードに適応し,パッケージを構築します。README.SNMPも参照してください。
$ tar xvzf snort-2.0.2.tar.gz
$ cd snort-2.0.2
$ zcat <somewhere>/SnortSnmp-2.0.2.patch.gz | patch -p1
$ ./configure --with-snmp
$ make
$ sudo make install
NOTE-WELL:
- configureスクリプトのオプション '--with-snmp' はSNMPアウトプットプラグインを構築する際には必ず指定します。
- net-snmp/ucd-snmpをディレクトリ/usr/local/以外の場所にインストールした場合は'--with-snmp'の引数にインストール先を指定します。
例
./configure --with-snmp=<PATH_TO_FUCDSNMP_INSTALLATION>
- snort.confファイルを編集します。
Important: snort.conf内にSNMPアウトプットプラグインに関する設定を記述する必要があります。パッチに含まれるsnort.confに一例を記載しております。
例
# The parameters for the SnmpTrap plugin module are
# alert, <SENSORID> {trap|inform} -v <SNMPVERSION> -p <PORTNUMBER>
# <HOSTNAME> <COMMUNITY>
output trap_snmp: alert, 7, trap -v 2c -p 162 myTrapListener myCommunity
Note. SNMPv1 trapはサポートしていません。SNMPv2cおよびSNMPv3を利用してください。snort.confに記述するSNMP関連パラメータはnet-snmpのパラメータとほぼ同一です。唯一の例外はnet-snmpではサポート外となりました"-p"オプションです。"-p"によりSNMPTrap送信先ポート番号を指定できます。他のパラメータに関する情報は snmptrapd のマニュアルページを参照してください。
最後に,SnmpTrapListenrが,snort.confで指定したホスト,ポート番号上で起動しているか確認してください。受信したアラートをコンソール上に出力するsnmptrapd の起動方法の例は以下の通りです。
snmptrapd -P -p <PORTNUMBER> (ucd-snmp)
snmptrapd -P -p udp:<PORTNUMBER> (net-snmp)
以上で設定は終了です。Snortを起動してください。
