snort2mail: script per ricevere gli alert di snort direttamente sulla nostra casella di posta elettronica

Creato il 13 dicembre 2011 da Nightfly

Gli alert generati da snort sono di indubbia utilità, in quanto da un'attenta analisi degli stessi è possibile individuare possibili tentativi di intrusione sulla nostra rete. Poichè sono un po' pigro e la lettura dei log è sicuramente una delle fasi più tediose del mio lavoro, ho pensato di creare il seguente script, in grando di inviare al mio indirizzo email gli alert in questione man mano che vengono generati.

Ecco lo script:

#!/bin/bash
logfile=/var/log/snort2sms.log
destinatario=vostro.indirizzo@email.it
ROOT_UID=0
if [ "$UID" -ne "$ROOT_UID" ];then
   ERRORE1="Errore 1: Devi essere root per eseguire lo script"
   echo $ERRORE1
   echo "$(date) $ERRORE1" >> $logfile
   exit 1
fi
cd /var/log/snort
if [ -f alert ];then
   if [ -f alert_backup ];then
   #confronto i due file e salvo le differenza all'interno di mail
   diff alert alert_backup > mail
   else
   touch alert_backup
   cp alert alert_backup
   fi
else
   ERRORE2="Errore 2: Il file alert non esiste. Sei sicuro di aver installato snort?"
   echo $ERRORE2
   echo "$(date) $ERRORE2" >> $logfile
fi
if [ -s mail  ];then
   cp alert alert_backup
   cat mail | mail -iv -s "HOME: snort alert" $destinatario;
fi
rm mail

Non vi resta che schedulare l'esecuzione dello script mediante cron e creare il file di log snort2mail.log nella directory /var/log.

Enjoy.


Potrebbero interessarti anche :

Possono interessarti anche questi articoli :