Gli alert generati da snort sono di indubbia utilità, in quanto da un'attenta analisi degli stessi è possibile individuare possibili tentativi di intrusione sulla nostra rete. Poichè sono un po' pigro e la lettura dei log è sicuramente una delle fasi più tediose del mio lavoro, ho pensato di creare il seguente script, in grando di inviare al mio indirizzo email gli alert in questione man mano che vengono generati.
Ecco lo script:
#!/bin/bash
logfile=/var/log/snort2sms.log
destinatario=vostro.indirizzo@email.it
ROOT_UID=0
if [ "$UID" -ne "$ROOT_UID" ];then
ERRORE1="Errore 1: Devi essere root per eseguire lo script"
echo $ERRORE1
echo "$(date) $ERRORE1" >> $logfile
exit 1
fi
cd /var/log/snort
if [ -f alert ];then
if [ -f alert_backup ];then
#confronto i due file e salvo le differenza all'interno di mail
diff alert alert_backup > mail
else
touch alert_backup
cp alert alert_backup
fi
else
ERRORE2="Errore 2: Il file alert non esiste. Sei sicuro di aver installato snort?"
echo $ERRORE2
echo "$(date) $ERRORE2" >> $logfile
fi
if [ -s mail ];then
cp alert alert_backup
cat mail | mail -iv -s "HOME: snort alert" $destinatario;
fi
rm mail
Non vi resta che schedulare l'esecuzione dello script mediante cron e creare il file di log snort2mail.log nella directory /var/log.
Enjoy.