В директории /progi/Snort-2.0.2/contrib мы можем найти множество полезных программ и утилит, которые не являются частью Snort, но значительно могут помочь в работе со Snort. Многие вещи нам в первый раз не понадобятся, они скорее нужны для продвинутых пользователей. Среди представленных программ вы найдёте готовые скрипты с командами по созданию таблиц в различных БД: MSSQL, MySQL, PostgreSQL, Oracle с целью ведения логов в БД. (Организация ведения логов в другие БД открыта и не представляет сложностей, разве что придётся написать скрипты самостоятельно.) Делать выборки и различные операции с БД более удобно, чем с обычными текстовыми лог-файлами. Для более-менее простого просмотра БД с логами мы там же можем найти ACID – систему визуального отображения содержимого БД через php и веб-сервер.

Рисунок.5. Вид ACID через веб-браузер mozilla

Подробнее с ACID мы познакомимся в следующих статьях.

Если вас чем-то не устраивает ведение логов в БД, а просматривать лог-файлы вручную всё же вам кажется не очень удобным, то для удобства просмотра имеется модуль SnortLog.pm для Perl в Net-SnortLog-0.1.tar.gz. Помимо этого имеется:

n  Guardian – скрипт на Perl, позволяющий изменять правила пакетного фильтра (пока для ipchains) с файлом конфигурации и небольшим README.

n  PassiveOS – скрипт для Perl, пытающийся по имеющимся логам определить, какую операционную систему имел атаковавший вас хост.

n  mysql.php3 – php-скрипт для просмотра статистики работы Snort в online (10 наиболее частых TCP-опробований, 10 наиболее частых UDP-опробований и пр. ), данные берутся из БД mysql.

n  snort2html, cкрипт на Perl, создающий отчёты в html.

n  S99snort – стартовый скрипт, чтобы запускать Snort при загрузке системы из /etc/rc.d/init.d – он вам понадобится, если вас не устроит изложенный вариант решения ниже.

n  snortdb-extra.gz – файл с правилами, создающими дерево таблиц в любой SQL92-совместимой БД, с целью более удобного изучения данных Snort пользователями.

n  snortlog – ещё один небольшой скрипт на Perl, ведущий анализ логов.

n  snortnet.tar.gz – набор программ, используемых проектом по обнаружению распределённых телекоммуникационных атак, когда Snort используется в качестве сетевого сенсора.