Szukaj?c alternatywy dla SNORT + BASE natrafi?em na SNORBY. Snorby to tak samo jak Base frontend dla Snorta, z tym, ?e napisany w rubym i jest po prostu ?adny. Wszystko si? kr?ci, przyciemnia, przelatuje z jedno w drugie, dodatkowo ma kilka fajnych funkcji jak generowanie raportów pdf czy wysy?anie powiadomie? mailem.
Co mnie szczególnie zaskoczy?o to instalacja, faktycznie (przynajmniej na NetBSD) przebieg?a tak jak jest pokazana w kilku krokach na stronie Snorbyego. Klonujemy najnowsz? wersj? przy pomocy gita, edytujemy podstawowe informacje i dost?p do bazy MySQL, uruchamiamy server na porcie 3000 – gotowe :)
Oczywi?cie trzeba dosintalowa? bardzo du?o sk?adników samego rubiego (to si? chyba naywa „gems” ? – nigdy nie mia?em do czynienia z rubym :), cz??? znajduje si? w pkgsrc, cz??? ruby sam doinstaluje przez wydanie komendy „bundle install”. w katalogu ze snorbym.
Jedyna rzecz, któr? musia?em poprawi? r?cznie to zrobi? dowi?zanie z /usr/pkg/bin/ruby193 do /usr/pkg/bin/ruby poniewa? bez tego snorby mówi? ?e nie wie gdzie jest ruby i nie móg? odpali? „workera”, który co jaki? czas zbiera informacj? z bazy i aktualizuje dashboard.
Co do snorta, to konfiguracja ??cz?ca go ze snorbym jest banalnie prosta. Trzeba tylko doda? w konfigu, aby oprócz zapisywania do pliku lub bazy danych, zapisywa? te? do bazy snorbiego :) To wszystko.
Po chwili w zale?no?ci jakie regu?y mamy zainstalowane i co snort na?apie, wszystko powinno by? ?adnie odwzorowane w snorbym, gdzie ju? mo?na wygodnie sobie przeglada? raporty, zerka? do ?rodka ramek, sprawdza? czy jaki? host nie za bardzo nam bru?dzi itp.
Porównuj?c czyst? instalacj? snorta i logowanie do plików a wizualizacj? przy pomocy Snorbiego w?a?ciwie nie ma co porównywa? :)