Workshop: Snort konfigurieren und IDS-Regeln erstellen

Output-Module

Oft besteht der Wunsch, dass Snort nach dem Erkennen eines Angriffs auf eine komplexe Weise reagiert und etliche Aktionen durchführt. Dazu bieten sich sogenannte Output-Module an, mit denen man individuelle Meldungen und Reaktionen definieren kann. Dazu ein Beispiel:

ruletype ActionServerList
{
type alert
output alert_smb: server-intern.list
output log_tcpdump: user-action.log
}

Das Beispiel definiert eine Aktion vom Typ „alert“ mit dem Namen „ActionServerList“. Die Warnmeldung wird durch das Output-Modul an eine in der Datei „server-intern.list“ angegebene Gruppe an Rechnern geschickt. Zudem schreibt Snort die Meldung im tcpdump-Format auch noch in die Logdatei „user-action.log“.