Snort アラートをリアルタイムに監視する (Swatch)ACID は Snort が不正パケットを検出しても管理者に報告することは出来ません。Snort が検出する不正パケットの中には急を要するアラートが含まれるかもしれません。この場合、Snort が出力するログの監視を自動化する事でシステム管理者の負担を減らす事が出来ます。 ここではログ監視ツール Swatch を使用して危険度の高いアラートに対して管理者にメールで知らせる例を説明します。 ログ自動監視ツール Swatch について ログを自動で監視するツールは、古くから Swatch が有名で RHL や TurboLinux など主要ディストリビューションからもパッケージが提供されています。 ログローテートに関しては自分で対策を行わなくてはならず、セットアップは面倒で、位置行単位でしかアクションを起こせない不自由な面もありますが、定義ファイルが作成し易く分かり易い面もあります。 Snor
