Eigentlich wollte ich nur schnell einen transportablen Medien Server aufsetzen, damit wir im Urlaub unsere Musik hören können. Eigentlich! Schnell entstand daraus der Wunsch, den alten Heim Server mal wieder auszutauschen. Bislang werkelt da ein veraltetes Snort, mit veralteten Regeln auf einem veralteten Ubuntu.
Die aktuelle Ubuntu Server LTS Version war schnell installiert. Für Snort habe ich hier eine perfekte Installationsanleitung gefunden. Bislang habe ich Snorby für die Visualisierung der Events von Snort verwendet. Snorby wollte ich unbedingt austauschen, da es ein schweres Paket ist, was Ruby benötigt, von dem ich keine Ahnung habe.
Die meisten Artikel die man zu Snort finden kann, empfehlen BASE. BASE läßt sich ab Ubuntu 16 nicht mehr so ohne weiteres installieren, da es PHP 5 verwendet und schon lange nicht mehr aktiv gepflegt wird. Es gibt noch eine handvoll kommerzielle Produkte die man meist auch frei nutzen kann, jedoch allesamt schwere Pakete.
Nach längerem suchen bin ich auf Evebox gestoßen. So eine Art Inbox für Events und Alerts. Klein, monolitisch, ohne Abhängigkeiten. Genau mein Ding. Evebox wird mit Daten im Eve Format gefüttert. Das ist schlecht, da Snort Log Dateien im Unified2 Format generiert. Glücklicherweiße gibt es einen Konverter, der ähnlich wie Barnyard2 für MySQL arbeitet und das Snort Spool Verzeichnis überwacht und in Eve Dateien konvertiert.
Laut dem Entwickler von Evebox ist geplant, Evebox direkt mit Unified2 Dateien zu füttern, so das der Konverter irgendwann überflüssig wird. Perfekt!
06.11.2020
Der Artikel ist veraltet, siehe Porkpie