snortのログを見るのに、長いことBASEを使っていたけど、検索がイマイチに思ったので代替を探してSuricataにたどり着いた。
Javaを使うモノがあるので起動がやや重い問題があるかと思いきや、そもそもsnortもルール読み込みがバカみたいに重たいので、大して差はなかったというオチもついた。
FreeBSDでもpkg installで全部揃うので楽ちん。
リッチなGUIがついたアプリはFreeBSD ports/pkgに少ない印象があったけど、Java実装だったり、サーバの監視に使ったりする関係なのかな。
FreeBSD依存の話はほとんどない(と思う)ので、それぞれのマニュアルを読みながら適当にやればできる。
- suricataにはdivert port 8000経由で食わせる。/etc/rc.firewallに
divert 8000 ip from ... to ...
というようなルールを追加する。
注意が必要なのは、divertに食われたパケットは帰ってこないということ。インタフェース1本でany to anyなんてしようものなら、sshの接続ごともっていかれる。
pcap(tcpdump)経由もできそうだけど見てない。 - logstashの設定をたくさん書きたければ、rc.confでconfig設定をファイルからディレクトリ指定に変えてしまおう。
logstash_config="/usr/local/etc/logstash/conf.d"
- パフォーマンスをそれほど求めないなら、zfsの圧縮がよく効く。
[alraune:~] root# zfs get compression,referenced,logicalused,compressratio sakura/elasticsearch NAME PROPERTY VALUE SOURCE sakura/elasticsearch compression gzip-4 local sakura/elasticsearch referenced 1.02G - sakura/elasticsearch logicalused 2.40G - sakura/elasticsearch compressratio 2.32x -
- ircを使っている人は
FTP invalid MODE
に注意。マッチ条件が/^MODE\s+[^ABSC]{1}/msi
だけなので、ircのMODEに引っかかる。きっとほかにも引っかかる。
我が家はFTPは使わないのでルールごとsuppress。