所有發生過的事情都會儲存在Log紀錄內,但是Log的資訊過於繁雜且儲藏在檔案內,所以取出運用相當不方便。雖然有相關的解決方案可將系統所產生的Log資訊導向至資料庫進行管理,但還是需要相當多的人力才能從一堆繁雜的資訊中找出有用的資訊。對此,本文將利用sagan結合unifield2軟體,把偵測到的惡意行為資訊儲存至資料庫,並且以網頁的方式來輕鬆管理相關的資訊。
最後,還須設定sagan的組態檔,如圖7所示(新增輸出為unified2的設定)。
 |
| ▲圖7 sagan組態檔內容。 |
在設定完成後,依序重新啟動rsyslog及sagan及MySQL服務(啟動sagan後可檢查在「/var/log/sagan/」目錄下是否有類似名稱為sagan.u2.1402596130的檔名產生(其中的1402596130為時間資訊)。
如果已經產生,即表示sagan設定並沒有錯誤,並已正確地產生unified2檔案格式提供給barnyard2程式使用,然後以下列指令啟動barnyard2:
最後,繼續來安裝BASE(網頁介面的管理程式),安裝過程很簡單,下載原始碼後,將其放置到網站的根目錄上(需有支援PHP及MySQL的網站伺服器),然後利用其所提供的setup.php進行設定即可。
第一步先檢查環境是否符合,再設定adodb的程式庫位置,然後設定資料庫資訊和登入資訊,並且在所設定的資料庫加入所需的資料庫表格,如果操作無誤,最後就會出現安裝成功的訊息,步驟如圖8?13所示。
 |
| 圖8 檢查環境是否符合。 |
 |
| ▲圖9 設定adodb程式庫位置。 |
 |
| ▲圖10 進行資料庫設定。 |
 |
| ▲圖11 設定登入帳號、密碼等。 |
 |
| ▲圖12 加入資料庫表格。 |
 |
| ▲圖13 安裝成功。 |
完成後,可透過連結「http://」的方式以網頁介面來管理相關的事件,如圖14所示。
 |
| ▲圖14 利用網頁介面進行管理。 |
至此,一套網頁介面的主機型入侵偵測系統就建構完成了!
<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案,著有「資訊安全原理與實驗」等書。>