在上一篇文章中详细为大家讲解了在Windows 10 系统中,如何搭建“Snort+Barnyard2+MySQL+PulledPork”的Snort IDS平台。通过ping这台主机,实现Snort自动报警并将报警文件存储到数据库。今天我们要将存入数据库的数据通过WebUI的方式展示出来,我们采用架构"Apache+PHP+BASE",实验环境需在上一节课的基础上完成。
如果小伙伴对Windows10下如何安装Snort还不够了解,可参阅https://edu.51cto.com/course/30938.html这门课程。有了课程的基本知识后,再次回顾这篇文章将会有更深刻的感受。下面介绍实验步骤。
一、安装Apache
我们首先要在系统中安装Web Server,下面以安装Apache for Windows为例。下载软件包:https://www.apachelounge.com/download/ 安装素材统一放置于D:\temp目录。
为Apache安装 FastCGI ASF。
二、配置Apache
下面分别对Apache和FastCGI进行配置,notepad打开httpd.conf配置文件。
以下配置供大家参考。
原始行(37): Define SRVROOT "c:/Apache24"
修改为: Define SRVROOT "d:\winids\apache24"
原始行(60): Listen 80
修改为: Listen winids:80
在“ #LoadModule xml2enc_module modules / mod_xml2enc.so”行(185行)下方,添加下一行。
原始行(228): #ServerName www.example.com:80
修改为: ServerName winids:80
原始行(252): DocumentRoot "${SRVROOT}/htdocs"
修改为: DocumentRoot "${SRVROOT}\htdocs\base"
原始行(253): <Directory "${SRVROOT}/htdocs>
修改为: <Directory "${SRVROOT}\htdocs\base">
原始行(266): Options Indexes FollowSymLinks
修改为: Options -Indexes
原始行(286): DirectoryIndex index.html
修改为: DirectoryIndex base_main.php
接着增加配置FCIG模块,代码如下:
编辑完成,保存退出。
三、将Apache添加为Windows服务
如果要实现开机自动运行IDS,需要做如下操作。
d:\winids\apache24\bin\httpd.exe -k install
Installing the Apache2.4 service
The Apache2.4 service is successfully installed.
Testing httpd.conf....
Errors reported here must be corrected before the service can be started.
查看Windows系统服务:
命令行下控制服务启动与停止
故障分析:
首次做实验最常见的错误截图如下
这句话是Apache内置的启动提示语句,暂时没有找到取消和更改的方法。Apache每次启动都会检测配置文件httpd.conf有没有错误,如果在Errors reported here must be corrected before the service can be started.当这句话下边出现提示或错误时,必须先把这些问题解决了才能成功启动Apache服务。
所以大家看到Errors reported here这句下边没有任何提示则说明Apache启动很成功!可以放心进行其他相关操作。大家在修改配置文件的方式采用循环迭代小改进逐步排除错误。
四、安装PHP
软件下载:https://windows.php.net/downloads/releases/archives/
在命令提示符输入命令 '7z x d:\temp\php-5.6.40-Win32-VC11-x64.zip -od:\winids\php',我们将php.ini-development改名为php.ini,作为PHP的配置文件。
下面开始编辑这个文件。
原始行(372): max_execution_time = 30
修改为: max_execution_time = 60
原始行(449): error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
修改为: ;error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
原始行(709): ;include_path = ".;c:\php\includes"
修改为: include_path = "d:\winids\php"
原始行(734): ; extension_dir = "ext"
修改为: extension_dir = "d:\winids\php\ext"
原始行(891): ;extensinotallow=php_gd2.dll
修改为: extensinotallow=php_gd2.dll
原始行(900): ; extensinotallow=php_mysql.dll
修改为: extensinotallow=php_mysql.dll
原始行(936): ;date.timezone =
修改为: date.timezone =Asia/Beijing
原始行(1445): ;session.save_path = "/tmp"
修改为: session.save_path = "c:\windows\temp"
文件修改完毕,保存退出。
注意:如果以上介绍的单独安装的配置方法,比较麻烦可以采用XAMMP这是集成的AMP是实验环境。PHP 7.2以上版本运行BASE会报错。
五、安装BASE
解压缩之后,开始复制配置文件。
编辑base_conf.php
原始行(50): $BASE_urlpath = '';
修改为: $BASE_urlpath = 'http://winids';
原始行(80): $DBlib_path = '';
修改为: $DBlib_path = 'd:\winids\adodb5';
原始行:
改为如下内容:
原始内容:
改为如下内容:
原始行(189): $show_rows = 48;
修改为: $show_rows = 90;
原始行(271): $resolve_IP = 0;
修改为: $resolve_IP = 1;
原始行(277): $show_expanded_query = 0;
修改为: $show_expanded_query = 1;
原始行(290): $portscan_file = '';
修改为: $portscan_file = 'd:\winids\snort\log\portscan.log';
原始行(431): $colored_alerts = 0;
修改为: $colored_alerts = 1;
原始行(434行): $priority_colors = array ('FF0000','FFFF00','FF9900','999999','FFFFFF','006600');
修改为: $priority_colors = array ('000000','FF0000','FF9900','FFFF00','999999');
结束修改,保存退出。
安装ADODB
设置BASE
前期准备工作做好之后,设置非常简单参见https://blog.51cto.com/chenguang/2505396 ,本文不再赘述。
六、用Splunk分析Snort日志
Splunk是一款数据分析系统(有社区版和商业版两种类型)。它在快速收集、搜索、分析、实时获取数据方面的能力较为突出,效率高,能够处理PB级数据,并且它支持对数据源进行实时监控。支持自定义过滤规则。Splunk使用简单,通过用户图形界面进行各种统计分析操作,能够对数据进行可视化展示,形象直观。
本实验中利用Splunk实时监控Snort的警报日志文件alert.ids(有的系统是fast.log文件)。Splunk安装程序非常简单,本文不再赘述。下面我们在Windows 10系统中安装Snort+BASE环境并安装Splunk然后导入alert.ids报警文件。
开始日志搜索
七、总 结
这篇文章的重点是对Windows10系统中安装 Snort和配置日志可视化的流程进行说明。这篇文章中所介绍的方法,对于 Windows用户来说,是一种十分实用的方法,即使他们没有 Linux的基础,也可以在很短的时间内,快速地建立 IDS可视化系统,这与 Linux下所介绍的方法相比降低了技术门槛。
