نحوه نصب Snort3 بر روی Ubuntu20.04

دراین راهنما سعی شده تا نحوه نصب Snort3 به عنوان NIDS و Splunk به عنوان SIEM آموزش داده شود. هدف این آموزش بیشتر معرفی اجزا و ویژگی‌های Snort و Splunk می‌باشد. شما می‌توانید این دو نرم افزار را براساس نیاز خود و به راحتی با انجام مراحل زیر و بدون نیاز به فهم مراحل نصب بر روی سرور خود نصب و تنظیم نمایید. از آنجایی که در محیط عملیاتی بیشتر نیاز است که شما درک عمیقی از نحوه کار Snort و Splunk داشته باشید، بنابراین درک مراحل آنها اهمیت چندانی ندارد.

Snort3

snort3 یک سیستم تشخیص و جلوگیری از نفوذ (NIDS/NIPS) مبتنی بر سیاست می‌باشد. این نرم‌افزار برای استفاده در محیط‌ها و سناریوهای مختفلف بسیار منعطف و قابل تنظیم می‌باشد. ساختار جدید معماری pluginهای آن به توسعه‌دهندگان اجازه می‌دهد تا پلاگین‌های خود را برای استفاده در ساختار پردازشی Snort ایجاد کنند. در این راهنما یک استفاده معمول از Snort3 و نصب بر روی یک سرور عملیاتی توضیح داده شده است. در این سناریو سیستم Snort از مجموعه سیاست‌های دانلود شده از سایت Snort برای پایش ترافیک شبکه استفاده خواهد کرد. snort درهنگام شناسایی ترافیک مشکوک به صورت اتوماتیک هشداری برای آن ایجاد می‌کند.

Splunk

Splunk یک سیستم امنیتی اطلاعاتی و مدیریت رویداد (SIEM) است که به جمع‌آوری، ذخیره و تجزیه و تحلیل و تجسم داده‌های تولید شده در ماشین از جمله هشدارهای ایجاد شده توسط Snort می‌پردازد. این راهنما از Splunk برای نمایش گرافیکی هشدارهای Snort، ارائه فیلترها و قابلیت‌های جستجو استفاده می‌کند. و کمک می کند تا شما درک پایه‌ای در مورد Splunk به عنوان ابزاری قدرتمند برای فهم داده‌های تولید شده در تجهیزات، بدست بیاورید.

OpenAppID

Snort OpenAppID به Snort اجازه می‌دهد تا بتواند برنامه‌های مورد استفاده در شبکه را شناسایی، کنترل و اندازه‌گیری نماید. این ابزار شامل مجموعه ای از پکیج‌ها (امضاها) است که با انواع خاصی از داده‌های شبکه مطابقت دارد. برنامه‌های لایه 7، مانند Facebook ،DNS ،netflix ،discus ،google و همچنین برنامه‌هایی که از سرویس‌های chrome ،http و https استفاده می‌کنند، از جمله این برنامه‌ها می‌باشند. شما می‌توانید سیاست‌هایی براساس امضاهای OpenAppID ایجاد و ترافیکی‌هایی که با برنامه‌های خاصی مطابقت دارند را مسدود کنید. به عنوان مثال، با استفاده از این ماژول می‌توانید تمام پیام‌های Facebook را مسدود کنید.

Snort 2 در مقابل Snort 3

Snort3 یک بازطراحی کامل از Snort2 می‌باشد که تعدادی از محدودیت‌های اساسی موجود در Snort2 را پوشش می‌دهد. برخی از ویژگی‌های اصلی Snort3 شامل پردازش‌های چندنخی، معماری پلاگین قابل توسعه، فایل‌های پیکربندی مبتنی بر lua و پوسته خط فرمان می‌باشد.

نیازمندی‌های نرم‌افزاری

• نسخه LTS و 64 بیتی Ubuntu server 20.04
• 5 گیگابایت فضا در مسیر /opt/splunk/ برای نصب Splunk

نصب Snort3

در قدم اول برای نصب Snort3 از به روز بودن سیستم و پکیج‌های نصب شده مطمئن شوید.

sudo apt-get update && sudo apt-get dist-upgrade -y

صحیح بودن Time و Timezone سرور از موراد مهمی است که بایستی چک شود. زیرا زمان در هنگام بررسی و آنالیز هشدارها با استفاده از Splunk بسیار مهم می‌باشد.

sudo dpkg-reconfigure tzdata

برای ذخیره فایل‌های Tarball، یک دایرکتوری در مسیر Home کاربر خود ایجاد کنید.

mkdir ~/snort_src
cd ~/snort_src

نصب پیش نیازهای لازم برای Snort3

sudo apt-get install -y build-essential autotools-dev libdumbnet-dev \
libluajit-5.1-dev libpcap-dev zlib1g-dev pkg-config libhwloc-dev \
cmake

نصب پکیج‌های متفرقه

sudo apt-get install -y liblzma-dev openssl libssl-dev cpputest \
libsqlite3-dev uuid-dev
sudo apt-get install -y asciidoc dblatex source-highlight w3m

در ادامه چون قصد داریم Snort را از مخزن github نصب کنیم، به تعدادی ابزار برای کامپایل پکیج‌ها نیاز داریم. انجام این مرحله در اوبونتو 20 نیاز نمی‌باشد، زیرا این کتابخانه‌ها از قبل بر روی آن نصب شده‌اند.

sudo apt-get install -y libtool git autoconf

نصب پیش نیازهای Snort DAQ (کتابخانه جمع‌آوری داده)

sudo apt-get install -y bison flex libcmocka-dev

اگر قصد دارید از Snort در مد inline با استفاده از NFQ به صورت IPS استفاده کنید. بایستی پکیج‌های مورد نیاز را نصب کنید. این پکیج‌ها برای مد IDS و یا مد Inline با استفاده از AFPacket نیاز نمی‌باشد.

sudo apt-get install -y libnetfilter-queue-dev libmnl-dev

دانلود و نصب safec

cd ~/snort_src
wget https://github.com/rurban/safeclib/releases/download/v08112019/libsafec-08112019.0-gad76c7.tar.gz
tar -xzvf libsafec-08112019.0-gad76c7.tar.gz
cd libsafec-08112019.0-gad76c7/
./configure
make
sudo make install

نصب PCRE

cd ~/snort_src/
wget https://ftp.pcre.org/pub/pcre/pcre-8.43.tar.gz
tar -xzvf pcre-8.43.tar.gz
cd pcre-8.43
./configure
make
sudo make install

نصب gpertools 2.7

Tcmalloc یک تخصیص دهنده حافظه است که برای شرایط همزمانی بالا بهینه شده است که می‌تواند سرعت بهتری برای محاسبه هزینه و فایده در زمان استفاده بالا از حافظه فراهم کند. برای نصب این ماژول، gpertools 2.7 را دانلود و با استفاده از مراحل زیر نصب کنید (google’s thread-caching malloc در کروم استفاده شده است).

sudo apt-get install -y libunwind-dev
cd ~/snort_src
wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.7.90/gperftools-2.7.90.tar.gz
tar xzvf gperftools-2.7.90.tar.gz
cd gperftools-2.7.90
./configure
make
sudo make install

نصب پیش نیازهای Hyperscan

Snort 3 برای تطبیق سریع الگوها از Hyperscan استفاده می‌کند. این نرم افزار خود برای کار به دو پکیج Ragel و Boost نیاز دارد.

cd ~/snort_src
wget http://www.colm.net/files/ragel/ragel-6.10.tar.gz
tar -xzvf ragel-6.10.tar.gz
cd ragel-6.10
./configure
make
sudo make install

Hyperscan برای نصب به کتابخانه های Boost C ++ نیازمند می‌باشد. توجه کنید که ما از نسخه مخزن اوبونتو یعنی libboost-all-dev استفاده نمی‌کنیم. زیرا Hyperscan به کتابخانه‌های بالاتر از نسخه 1.58 نیاز دارد و نسخه مخزن اوبونتو بسیار قدیمی است. با استفاده از دستور زیر کتابخانه‌های Boost 1.72.0 را دانلود ولی نصب نکنید.

cd ~/snort_src
wget https://dl.bintray.com/boostorg/release/1.72.0/source/boost_1_72_0.tar.gz
tar -xvzf boost_1_72_0.tar.gz

نصب Hyperscan

cd ~/snort_src
wget https://github.com/intel/hyperscan/archive/v5.2.1.tar.gz
tar -xvzf v5.2.1.tar.gz
mkdir ~/snort_src/hyperscan-5.2.1-build
cd hyperscan-5.2.1-build/
cmake -DCMAKE_INSTALL_PREFIX=/usr/local -DBOOST_ROOT=~/snort_src/boost_1_72_0/ ../hyperscan-5.2.1
make
sudo make install

اگر می‌خواهید تست کنید که Hyperscan کار می‌کند، از دایرکتوری مربوط به کامپایل آن، دستور زیر را اجرا نمایید.

cd ~/snort_src/hyperscan-5.2.1-build/
 ./bin/unit-hyperscan

Snort یک نیازمندی اختیاری نیز به Flatbuffers، یک کتابخانه سریال سازی کارآمد حافظه، دارد. شما می‌توانید خطای cmake را برای نصب آن “not a git repository” نادیده بگیرید.

cd ~/snort_src
wget https://github.com/google/flatbuffers/archive/v1.12.0.tar.gz \
 -O flatbuffers-v1.12.0.tar.gz
tar -xzvf flatbuffers-v1.12.0.tar.gz
mkdir flatbuffers-build
cd flatbuffers-build
cmake ../flatbuffers-1.12.0
make
sudo make install

دانلود و نصب Data AcQuisition library (DAQ)

cd ~/snort_src
git clone https://github.com/snort3/libdaq.git
cd libdaq
./bootstrap
./configure
make
sudo make install

به روزرسانی کتابخانه‌های اشتراکی با استفاده از دستور زیر

sudo ldconfig

الان کاملا آماده دانلود، کامپایل و نصب Snort3 از Github می‌باشیم. اگر قصد فعال‌سازی قابلیت اضافی در زمان کامپایل را دارید. مانند توانایی پردازش فایل‌های PCAP بزرگ (بیش از 2 گیگابایت) PCAP یا پوسته جدید خط فرمان. بایستی ابتدا از دستور زیر برای لیست کردن همه گزینه‌های ممکن استفاده کنید.

./configure cmake.sh --help

دانلود و نصب Snort3

cd ~/snort_src
git clone git://github.com/snortadmin/snort3.git
cd snort3
./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc
cd build
make
sudo make install

آخرین مرحله از نصب، تست صحت نصب Snort با اجرای دستور زیر می‌باشد.

/usr/local/bin/snort -V

نتیجه اجرای این دستور باید چیزی شبیه به عکس زیر باشد.

اگر نیتجه اجرا دستور بالا برای شما نیز مانند عکس بالایی باشد یعنی Snort را به درستی نصب کرده‌اید. در ادامه می‌توانیم Snort را با استفاده از فایل کانقیگ پیش‌فرض آن نیز تست کنیم.

snort -c /usr/local/etc/snort/snort.lua

شما بعد از اجرای دستور بالا، بایستی در آخر پیام‌های نمایش داده شده در ترمینال خروجی زیر را مشاهده کنید.

Snort successfully validated the configuration (with 0 warnings).
o")~ Snort exiting

انجام تنظیمات کارت شبکه‌های سرور

کارت‌های شبکه مدرن از ویژگی Offloading برای بازسازی (Re-assembly) مجدد بسته‌های شبکه در سخت‌افزار به جای نرم‌افزار استفاده می‌کنند. در بیشتر مواقع، این ویژگی برای استفاده ترجیح داده می‌شود زیرا بار سیستم را کاهش می‌دهد. برای NIDS، ما می‌خواهیم LRO و GRO را غیرفعال کنیم. زیرا این ویژگی می‌تواند بسته‌های طولانی‌ را کوتاه کند و قسمتی از اطلاعات را از بین ببرد.

برای انجام این تنظیمات بر روی اینترفیس‌ها، یک سرویس SystemD ایجاد می‌کنیم. ابتدا با استفاده از ابزار ethtool وضعیت LRO و GRO را برای اینترفیس eth0 چک می‌کنیم.

sudo ethtool -k eth0 | grep receive-offload

generic-receive-offload: on
large-receive-offload: off [fixed]

ایجاد اسکریپت SystemD

sudo vi /lib/systemd/system/ethtool.service

برای ایجاد سرویس از اسکریپت زیر استفاده می‌کنیم. در این اسکریپت شما بایستی اسم eth0 را به نام اینترفیس سرور خودتان تغییر دهید.

[Unit]
Description=Ethtool Configration for Network Interface
[Service]
Requires=network.target
Type=oneshot
ExecStart=/sbin/ethtool -K eth0 gro off
ExecStart=/sbin/ethtool -K eth0 lro off
[Install]
WantedBy=multi-user.target

فعال‌سازی سرویس

sudo systemctl enable ethtool
sudo service ethtool start

با فعال سازی و اجرای این سرویس، این تنظیمات در همه راه اندازی‌های مجدد سیستم اعمال خواهد شد.

sudo ethtool -k eth0 | grep receive-offload

generic-receive-offload: off
large-receive-offload: off [fixed]

نصب OpenAppID

از انجایی که OpenAppID امکان شناسایی ترافیک لایه برنامه (لایه 7) را فراهم می‌کند. شما می‌توانید با استفاده از این ماژول قوانینی ایجاد کنید که بر روی ترافیک لایه کاربردی کار کند (مثلا فیس بوک را مسدود کنید) و آمار مربوط به هر نوع ترافیک شناسایی شده را ثبت نماید.

cd ~/snort_src/
wget https://snort.org/downloads/openappid/12159 -O OpenAppId-12159.tgz
tar -xzvf OpenAppId-12159.tgz
sudo cp -R odp /usr/local/lib/

پس از انجام مراحل بالا بایستی فایل پیکربندی Snort را ویرایش و مسیر odp را به بخش OpenAppID اضافه کنیم.

appid =
 {
     −− appid requires this to use appids in rules
     app_detector_dir = '/usr/local/lib',
 }

توجه داشته باشید که باید از چهار فاصله (نه تب) برای قسمت فرورفتگی استفاده کنید. اکنون با استفاده از دستور زیر صحت فایل پیکربندی را تست می‌کنیم.

snort -c /usr/local/etc/snort/snort.lua --warn-all

در صورتی تنظمات را به درستی انجام داده باشیم، نتیجه دستور بالا چیزی شبیه به تصویر زیر خواهد بود.

برای تست OpenAppID یک سیاست ساده ایجاد و با استفاده از آن ترافیک مربوط به Facebook.com را شناسایی می‌کنیم.

sudo mkdir /usr/local/etc/rules
sudo touch /usr/local/etc/rules/local.rules
sudo vi /usr/local/etc/rules/local.rules

alert tcp any any -> any any ( msg:"Facebook Detected"; appids:"Facebook";sid:10000001; )
alert icmp any any -> any any (msg:"ICMP Traffic Detected";sid:10000002;)

شناسایی ترافیک Facebook.com با استفاده از Snort3

sudo snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules \
-i eth0 -A alert_fast -s 65535 -k none

با اجرای این دستور Snort تنظیمات را خوانده و در آخر خروجی زیر را نشان خواهد داد.

Commencing packet processing
++ [0] eth0

تصویر بالا بدین معنی است که snort به طور صحیح به تمام ترافیک عبوری از eth0 گوش می‌کند. وکل ترافیک را با دو قانون نوشته شده مقایسه می‌کند. زمانی که ترافیکی مطابقت داشته باشد، snort هشداری بر روی کنسول نمایش خواهد داد. اکنون برای تست از wget برای اتصال به فیس بوک استفاده می‌کنیم. این کار باعث فعال شدن قانون اول و ایجاد هشدار موجود در تصویر زیر می‌شود.

wget facebook.com

اگر می‌خواهید آمار مربوط به OpenAppID را جمع‌آوری کنید (چه مقدار تراکنش توسط هر ردیاب شناسایی شده است). باید آن را در پرونده snort.lua فعال و Snort را با پرچم -l اجرا کنید.

ابتدا یک دایرکتوری برای ذخیره لاگ و آمار Snort در مسیر زیر ایجا نمایید.

sudo mkdir /var/log/snort

برای فعال‌سازی ذخیره‌سازی لاگ مربوط به OpenAppID فایل تنظیمات موجود در مسیر /usr/local/etc/snort/snort.lua را ویرایش کرده و مقدار زیر را به آن اضافه کنید.

appid =
 {
     app_detector_dir = '/usr/local/lib',
     log_stats = true,
 }

برای تست، دستور زیر را در ترمینال اجرا و مجددا از دستور wget برای سایت Facebook استفاده می‌کنیم.

sudo snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules \
-i eth0 -A alert_fast -s 65535 -k none -l /var/log/snort

بعد از جمع‌آوری مقداری لاگ از طریق ping و اجرای دستور wget، در مسیر /var/log/snort فایلی با نام appid_stats.log ایجاد خواهد شد. از آنجایی که مالک این فایل کاربر root می‌باشد، بایستی دسترسی خواندن توسط همه کاربران را به آن بدهیم.

sudo chmod a+r /var/log/snort/appid_stats.log

با استفاده از دستور زیر می‌توانید اطلاعات آماری که Snort از برنامه‌های لایه 7 جمع‌آوری کرده است را مشاهده کنید.

cat /var/log/snort/appid_stats.log
  1549218716,DNS,1576,1778
  1549218716,Facebook,8727,630912
  1549218716,OpenSSH,19523,2344
  1549218716,SSH,19523,23445
  1549218716,HTTPS,8727,630912
  1549218716,SSL client,8727,630912
  1549218716,ICMP,392,392
  1549218716,__unknown,11028,139100

نصب مجموعه قوانین Snort

سه مجموعه مختلف از قوانین Snort برای استفاده در سیستم IDS و IPS وجود دارد. اولین مجموعه شامل مجموعه قوانین Community که رایگان هستند و برای استفاده از آنها نیازی به ثبت نام و ورود به سایت نمی‌باشد. دومین مجموعه، مجموعه قوانین Register شده شامل قوانین Community و سایر قوانین می‌باشد که برای دانلود آنها به یک حساب کاربری رایگان در snort.org نیاز است. سومین مجموعه شامل مجموعه قوانین مشترکین (Sunscriber) است که یک سرویس پولی می‌باشد. قوانین مربوط به مجموعه Subscriber بعد از 30 روز به مجموعه قوانین ثبت شده اضافه می‌شوند.

بنابراین برای استفاده از مجموعه قوانین ثبت شده نیاز است آنها را با فرمت snortrules-snapshot3xxx.tar.gz از بخش Rules دانلود کنید. و در ادامه دایرکتورهای مورد نیاز آنها را در مسیر /usr/local/etc/snort/ ایجا کنید.

sudo mkdir /usr/local/etc/rules
 sudo mkdir /usr/local/etc/builtin_rules
 sudo mkdir /usr/local/etc/so_rules
 sudo mkdir /usr/local/etc/lists

بعد از Extract کردن فایل مربوط به قوانین، آنها را در مسیرهای بالا کپی نمایید.

cd ~/snort_src/
mkdir snortrules-3000
tar -xvzf snortrules-snapshot-3000.tar.gz -C ./snortrules-3000
cd snortrules-3000

sudo cp ./rules/*.rules /usr/local/etc/rules/

sudo cp ./builtins/builtins.rules /usr/local/etc/builtin_rules/

sudo cp ./etc/* /usr/local/etc/snort/

بعد از انجام مراحل مربوط به کپی فایل‌ها، به دلیل بازنویسی تنظیمات قبلی، مجددا فایل تنظیمات را ویرایش کرده و تنظیمات قبلی و همچنین تنظیمات زیر را در آن وارد کنید.

sudo vi /usr/local/etc/snort/snort.lua

HOME_NET = '10.0.0.0/24'

برای تست بارگذاری صحیح قوانین از دستور زیر استفاده کنید.

snort -c /usr/local/etc/snort/snort.lua

اگر هیچ خطایی اتفاق نیافتد، خروجی زیر برای شما نمایش داده خواهد شد.

فعال کردن قوانین Built-in

ips =
{
   -- use this to enable decoder and inspector alerts
   enable_builtin_rules = true,
   -- use include for rules files; be sure to set your path
   -- note that rules files can include other rules files
   --include = 'snort3-community.rules',
   -- The following include syntax is only valid for …
   -- RULE_PATH is typically set in snort_defaults.lua
   rules = [[
       include $BUILTIN_RULE_PATH/builtins.rules
       include $RULE_PATH/snort3-app-detect.rules
       include $RULE_PATH/snort3-browser-chrome.rules
}

تنظیم Snort برای اجرا در موقع Startup سیستم

برای اجرای خودکار Snort بعد از راه اندازی سیستم، یک اسکریپت systemD ایجاد می‌کنیم. همچنین به دلایل امنیتی، snort را با استفاده از یک کاربر عادی (غیر از کاربر root) اجرا خواهیم کرد.

در قدم اول برای شروع انجام تنظیمات ابتدا کاربر snort و گروه snort را ایجاد می‌کنیم.

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

در قدم دوم همه فایل‌های مربوط به لاگ‌های قدیمی را پاک می‌کنیم.

sudo rm /var/log/snort/*

دسترسی‌های لازم برای کاربر snort به دایرکتوری log را تنظیم می‌کنیم.

sudo chmod -R 5775 /var/log/snort
sudo chown -R snort:snort /var/log/snort

فایل مربوط به سرویس SystemD را ایجاد و اسکریپت زیر را در آن وارد می‌کنیم.

sudo vi /lib/systemd/system/snort3.service

[Unit]
Description=Snort3 NIDS Daemon
After=syslog.target network.target
[Service]
Type=simple
ExecStart=/usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -s 65535 \
-k none -l /var/log/snort -D -u snort -g snort -i eth0 -m 0x1b
[Install]
WantedBy=multi-user.target

فعال‌سازی لاگ

alert_json =
{
file = true,
limit = 10,
fields = 'seconds action class b64_data dir dst_addr \
dst_ap dst_port eth_dst eth_len eth_src eth_type gid icmp_code \
icmp_id icmp_seq icmp_type iface ip_id ip_len msg mpls pkt_gen \
pkt_len pkt_num priority proto rev rule service sid src_addr \
src_ap src_port target tcp_ack tcp_flags tcp_len tcp_seq \
tcp_win tos ttl udp_len vlan timestamp',
}

با استفاده از دو دستور زیر سرویس Snort را فعال و اجرا می‌نماییم.

sudo systemctl enable snort3
sudo service snort3 start

چک کردن وضعیت سرویس snort3

service snort3 status

نصب Splunk

نسخه رایگان نرم افزار Splunk از سایت آن دانلود کرده و با استفاده از دستور زیر نصب می‌کنیم.

sudo dpkg -i splunk-8.*.deb

دستور بالا Splunk را در مسیر /opt/splunk نصب می‌کند. در اولین اجرای Splunk بایستی یک نام کاربری و پسورد ایجاد نمایید.

sudo /opt/splunk/bin/splunk start --answer-yes --accept-license

با استفاده از دستورات زیر می‌توانیم Splunk را طوری تنظیم کنیم که موقع Startup سیستم به صورت اتوماتیک اجرا شود.

sudo /opt/splunk/bin/splunk stop
 sudo /opt/splunk/bin/splunk enable boot-start -systemd-managed 1
 sudo service Splunkd start

Splunk در نسخه آزمایشی خود یک دوره 60 روز با امکان آنالیز و تحلیل 5 گیگ لاگ به ازای هر روز تست در نظر گرفته است. این نرم افزار به صورت پیش‌فرض بر روی پورت 8000 کار می‌کند.

تنظیم Splunk

ابتدا باید پلاگین‌ Snort 3 JSON Alerts برای جمع‌آوری و نرمال‌سازی لاگ‌های ایجاد شده توسط Snort 3 را نصب کنیم. برای نصب در صفحه اصلی Splunk گزینه Find more app را زده و پلاگین مورد نظر را جستجو و نصب می‌کنیم.

در مرحله بعد، باید این افزونه را پیکربندی کنیم تا از این طریق به Splunk مسیر لاگ‌های ایجاد شده توسط Snort 3 را معرفی نماییم تا بتواند آنها را جمع‌آوری کند. ما این کار را از خط فرمان با استفاده از فایل پیکربندی زیر انجام می‌دهیم.

sudo mkdir /opt/splunk/etc/apps/TA_Snort3_json/local
sudo touch /opt/splunk/etc/apps/TA_Snort3_json/local/inputs.conf
sudo vi /opt/splunk/etc/apps/TA_Snort3_json/local/inputs.conf

[monitor:///var/log/snort/alert_json.txt]
sourcetype = snort3:alert:json

بعد از انجام تنطیمات، سرویس Splunk را ریستارت می‌کنیم.

sudo service Splunkd restart

از این لحظه به بعد هر زمانی که Splunk شروع به کار می‌کند، پوشه /var/log/snort را برای فایل‌های json اسکن می‌کند و به لاگ‌های موجود نوع منبع snort3: alert: json را اختصاص داده و آنها را جمع آوری می‌کند. بعدا ما می‌توانیم با استفاده از تگ منبع، لاگ‌های مربوط به Snort را جستجو کنیم.

برای تست بر روی گزینه Search and Reporting کلیک کرده و عبارت snort3: alert: json را جستجو کنید. این دستور کلیه رویداهای موجود با نوع منبع snort3: alert: json را نشان خواهد داد.