Модули вывода
Модули вывода также устанавливаются в файле snort.conf, с помощью команды output, которая управляет тем, как, где и в каком формате Snort хранит полученные данные. Для любого типа определенных вами правил можно указать определенный модуль вывода, который будет с ним использоваться. В таблице 14.4 описаны наиболее популярные модули вывода (в версии Snort 1.8).
| alert_fast | <logfile> | Так же как с режимом быстрых предупреждений, который может быть определен из командной строки как -A fast, вы можете в этом месте определить отдельный файл. Эта опция полезна, если вы определяете свои собственные правила и хотите, чтобы некоторые правила использовали модуль alert_fast для регистрации данных в одном файле, в то время как другие правила использовали модуль alert_fast для регистрации данных в другом файле. |
| alert_full | <logfile> | Подобен модулю alert_fast за исключением того, что для предупреждений он использует заданный по умолчанию режим полной регистрации инструмента Snort. |
| alert_smb | <workstation_list_file> | Подобно свойству -M, посылает предупреждения WinPopup рабочим станциям Windows, перечисленным в файле. |
| alert_syslog | <syslog_facility> <syslog_priority> | Подобно опции -s, позволяет посылать предупреждающие сообщения инструмента Snort непосредственно в syslog, используя средства и приоритет, который вы определяете. |
| log_null | Модуль полезен при определении типов правил, когда вы хотите вывести предупреждение, но не заботитесь о регистрации данных пакета. | |
| log_tcpdump | <logfile> | То же, что и работа Snort в двоичном формате регистрации данных (-b) и указания другого имени файла для регистрационного файла tcpdump (-L). |
| alert_unified, log_unified | <logfile> | Новый, чрезвычайно эффективный метод регистрации, который скоро станет в инструменте Snort заданным по умолчанию способом регистрации данных. Оба формата регистрации будут сделаны в двоичном коде, и отдельные программы (типа Barnyard) будут использоваться при анализе двоичных файлов и приведении их в удобочитаемые форматы. |
| database | <rule_type> <database_type> < parameters > | Сохраняет данные согласно правилам регистрации Snort или правилам предупреждений Snort (в зависимости от <rule_type>) во внешней базе данных. <database_type> указывает тип внешней базы данных SQL (MySQL, Oracle, PostgreSQL или UnixODBC). А список параметров содержит необходимую информацию: хост базы данных, имя пользователя и пароль, название базы данных и так далее. |
| xml | <rule_type> <parameters> | Сохраняет данные согласно правилам регистрации Snort или правилам предупреждений Snort (в зависимости от <rule_type>) в файл в формате SNML (Simple Network Markup Language). Параметры <parameters> управляют местоположением и макетом файла. |
| CSV | <logfile> <format> | Выбор из доступных элементов тех, которые будут регистрироваться при выводе инструментом Snort в формате строки <format> в файл, названный <logfile> и содержащий значения, отделяемые друг от друга запятой. |
| trap_snmp | <event_type> <sensor_id> <trap_type> <address> <community> | Посылает SNMP-предупреждение станции сетевого управления по адресу <address> в SNMP сообщество <community>. |
