1. 安裝WinPcap最新版:因為裝wireshark時就裝過了,跳過!
2. 安裝snort http://www.snort.org/snort-downloads
3. 安裝Kiwi Syslog Server http://www.kiwisyslog.com/kiwi-syslog-server-download/
4. 下載rules,解壓縮至snort安裝資料夾c:\snort。官網上說要依snort安裝版本來還擇下載,但是我試了舊版的rules,其實也可以。
5. 修改c:\snort\etc\snort.conf
主要是修改linux的路徑為windows的路徑,如下:
var RULE_PATH c:\snort\rules
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\preproc_rules
dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll
#dynamicdetection directory /usr………..
output alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT
6. 開啟CMD視窗,執行 c:\snort\bin\snort –W ,取得網路卡編號。我的編號是 1。
7. 執行 c:\snort\bin\snort –v –iX (X =上一步驟所得到的編號)。如果有事件發生,就會在CMD視窗中看到。成功後就可以關掉這個視窗。
8. 執行c:\snort\bin\snort -iX -s -l c:\snort\log\ -c c:\snort\etc\snort.conf –T,正常是不會有錯誤,應該會看到successfully並且正常exit,除非snort.conf設定錯誤。
9. 打開kiwi syslog server console,按下鍵盤[Ctrl]+T,測試是否有log產生。
10. 建個snort_start.bat檔,內容
c:\snort\bin\snort -iX -s -l c:\snort\log\ -c c:\snort\etc\snort.conf
11. 執行snort_start.bat,kiwi syslog server 視窗就會看到event囉。
12. 更新rule好像要付錢?
5 則留言:
请问可以把rule附上嗎?
你好,無意間看到你的文章
剛好最近會用到SNORT, 想請問你有留下當初SNORT和RULE較舊的版本嗎?
我的系統是Windows7, 加上SNORT目前升級到2.9.5,而我試著要照你的步驟做,當執行config時會有Unknown Preprocessor Normalize_ip4的錯誤出現
我懷疑是新版的SNORT移除了TRIM造成的,官網已經沒有舊版可以下載, 不好意思造成你的麻煩,如果還有留著舊版軟體,不知能不能寄給我呢
scott720613@hotmail.com
MAIL 給你了
您好~我在執行c:\snort\bin\snort -iX -s -l c:\snort\log\ -c c:\snort\etc\snort.conf -T
得到Log directory = c:\snort\log\
Could not create the registry key.
請問這是有哪邊設定錯誤嗎?
那麼多年的安裝我記不清楚了…猜想是不是沒有c:\snort\log這個目錄?或是沒有開寫入的權限?
張貼留言