Netzwerk-Überwachung mit Snort

Ausgabe der Ergebnisse

Nun müssen Sie Snort noch mitteilen, wie und wohin es seine gesammelten Ergebnisse schreiben soll. Dazu suchen Sie sich die Zeilen mit output database und ergänzen folgende Zeile:

output database: log, mysql, user=snort dbname=snort host=<IP-Adresse des WHAX-Rechners> sensor_name=<Name>

Damit weisen Sie Snort an, die Informationen in die MySQL-Datenbank namens snort auf dem WHAX-Rechner zu schreiben. Über den Parameter sensor_name vergeben Sie einen Namen für den Sensor, damit Sie die Reports später zuordnen können.

Damit sind die grundlegenden Einstellungen gemacht, und wir können den Snort-Sensor testweise starten. Öffnen Sie ein Befehlszeilenfenster und wechseln Sie in das Verzeichnis C:\Snort\bin. Dort geben Sie den Befehl snort -W ein.

Neben der Aussage, dass Snort und WinPcap richtig installiert sind, erhalten Sie eine weitere wichtige Information. Nämlich die Nummer der zu verwendenden Netzwerkschnittstelle. Sind mehrere im System vorhanden, müssen Sie Snort per Kommandozeile mitteilen, welche es verwenden soll. Damit können Sie gleich den nächsten Test starten. Geben Sie Folgendes ein:

snort -v -i<Nummer der Schnittstelle>