​      Sawmill作为一种跨平台的日志分析工具,已在《用 Sawmill搭建日志平台》​​​https://blog.51cto.com/chenguang/2171134​​中进行过探讨,并对它的体系结构以及如何安装进行了详尽的说明,针对他的强大功能本文将继续深入对Snort日志分析功能进行讨论。安装过程不再赘述,软件操作过程如下:

步骤1 系统设置

1. 登录系统

用Sawmill分析Snort日志_系统设置

创建Profile

用Sawmill分析Snort日志_配置文件_02

使用之前首先创建Profile文件,也可以创建多个。

步骤2:定义数据源

用Sawmill分析Snort日志_安装过程_03

选择 Snort logs ,然后按Next,这将向我们显示日志检测过程,成功检测到日志类型后,我们将获得以下选项:

用Sawmill分析Snort日志_系统设置_04

选择上图中的第3项Sourcefire Snort然后按下一步。在下一个屏幕上,我们将看到一条消息,输出日志为Syslog格式。现在为配置文件选择一个名称:

用Sawmill分析Snort日志_安装过程_05

用Sawmill分析Snort日志_安装过程_06

用Sawmill分析Snort日志_安装过程_07

用Sawmill分析Snort日志_安装过程_08

用Sawmill分析Snort日志_安装过程_09

经过一连串设置,下面我看看效果。

用Sawmill分析Snort日志_系统设置_10

用Sawmill分析Snort日志_配置文件_11

用Sawmill分析Snort日志_安装过程_12

经过简单几步就完成了系统设置,SAWMILL毕竟是商业软件功能和使用便利性方面要比之前的BASE更易上手,唯一不好就是有时限。