1. 安裝WinPcap最新版:因為裝wireshark時就裝過了,跳過!
2. 安裝snort http://www.snort.org/snort-downloads
3. 安裝Kiwi Syslog Server http://www.kiwisyslog.com/kiwi-syslog-server-download/
4. 下載rules,解壓縮至snort安裝資料夾c:\snort。官網上說要依snort安裝版本來還擇下載,但是我試了舊版的rules,其實也可以。
5. 修改c:\snort\etc\snort.conf
主要是修改linux的路徑為windows的路徑,如下:
var RULE_PATH c:\snort\rules
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\preproc_rules
dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll
#dynamicdetection directory /usr………..
output alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT
6. 開啟CMD視窗,執行 c:\snort\bin\snort –W ,取得網路卡編號。我的編號是 1。
7. 執行 c:\snort\bin\snort –v –iX (X =上一步驟所得到的編號)。如果有事件發生,就會在CMD視窗中看到。成功後就可以關掉這個視窗。
8. 執行c:\snort\bin\snort -iX -s -l c:\snort\log\ -c c:\snort\etc\snort.conf –T,正常是不會有錯誤,應該會看到successfully並且正常exit,除非snort.conf設定錯誤。
9. 打開kiwi syslog server console,按下鍵盤[Ctrl]+T,測試是否有log產生。
10. 建個snort_start.bat檔,內容
c:\snort\bin\snort -iX -s -l c:\snort\log\ -c c:\snort\etc\snort.conf
11. 執行snort_start.bat,kiwi syslog server 視窗就會看到event囉。
12. 更新rule好像要付錢?
