Das IDS soll die Vorkommnisse dokumentieren bzw. den Administrator darüber in Kenntnis setzen. Es gibt drei verschiedene Möglichkeiten dafür:
• | Syslog Ausgabemodul verwenden: Es werden Einträge im Syslog erzeugt. |
• | Gibraltar Firewall Alarm- und Ausgabelösung verwenden: Meldungen werden an die angegebenen Email-Adressen verschickt. Sie können festlegen, ab welcher Priorität der Meldung Emails verschickt werden sollen. |
• | Datenbank Ausgabemodul verwenden: Die Meldungen werden an einen externen Datenbankserver (MySQL oder PostgreSQL) geschickt. Leider unterstützt Snort keine verschlüsselten Verbindungen zu den Datenbank Servern, weshalb Sie auf IPSec Tunnel zurückgreifen sollten. Unter /usr/share/doc/snort-mysql oder /usr/share/doc/snort_pgsql finden Sie Scripte zum Erzeugen der benötigten Tabellen in der Datenbank. Ein großartiges Tool für Auswertungen ist BASE. |
|