【TechTarget中国原创】如果使用Snort，就可能发现有些默认规则没有用。你可能还发现需要的一些规则默认没有激活，而你可能需要修改一些规则。因为Snort需要像杀毒软件一样定期更新规则，每次下载新规则的时候都手动创建所有的变更不太实际。还有有一个免费的工具，叫做Oinkmaster。它可以帮助维护Snort规则，并在Unix和Windows上运行。（它是用Perl语言编写的，所以在Windows上运行需要ActivePerl。）

　　Oinkmaster是Snort社区中的实际规则更新工具。它是经过几年的beta测试版本后，在2004年五月发布的产品版本。它是由配置文件驱动的，而在配置文件中可以正确定义它应该做什么。首先使用HTTP、 HTTPS、 FTP、文件或者SCP的方法获取最新的规则。从Snort.org获取VRT规则需要Oinkcode。然后确定更新或者跳过哪些文件、修改那些特征ID（SID）、激活那些SID、不激活哪些。你还可以“包括”一些文件到任意的深度，这可以允许使用标准的方法。Oinkmaster的配置文件备有证明文件，而且包含有用的默认设置，但是仍然必须要查看并确保下载了正在运行的Snort版本的正确的规则快照，而且增加了Oinkcode。

　　当使用Oinkmaster直接更新传感器的时候，较好地方法是使用一个配置文件来更新分段传输目录，并报告变更细节。一旦查看并通过了变更，就可以使用另一个配置文件来跟新传感器（查看oinkmaster.sourceforge.net上的Oinkmaster的常见疑难问答的第三个问题。）

　　激活或者不激活SID很容易；你要做的就是在“激活的SID”或者“没激活的SID”中增加SID。修改一条SID很困难，而且包括了创建一个Perl Regular Expression来描述变更。还有模板功能可以执行多个相似的变更。因为Snort 规则还可以使用Regular Expressions。它在其他程序领域也很有用，如果对它不熟悉，值得学一下。

　　1.1版本是在2004年十月发布的，而且增加了两个报告格式，可以更清楚地显示当规则变化（在变更日志中查看–s和–m）时哪里不一样了。1.2版本是在2005年四月发布的，可以允许在oinkmaster.conf中存在多个-u ...[命令行]或则和多个“url = ...”[语句]，使下载VRT、社区和Bleeding Snort规则更便利、更迅速。Oinkmaster的档案编写的很好，使其成为学习这种工具的很好的开始。如果你使用Snort，就多花点时间吧——你不会后悔的，我保证。