バージョン：WindowsXPSP1 + WinPcap3.0 + snort2.0.2 + IDScenter1.1RC4
snortをカテゴリにしてみた。いつまで続くか分からんけど。

IDScenterの[Wizards]->[Network variables]でネットワークに関する設定をした。
どうも、ここは一番最初に設定すべき所だったらしい。(笑)

バージョン：WindowsXPSP1 + WinPcap3.0 + snort2.0.2 + IDScenter1.1RC4

• ルールの更新
  • 最新のルールセット(snortrules-stable.tar.gz)をhttp://www.snort.org/dl/rules/からダウンロードする。
  • ダウンロードしたファイルを解凍してできる/rulesフォルダでsnortをインストールした場所にある/rulesフォルダを上書きする。
• IDScenterの設定
  • [General]->[Configuration]
    • snortのバージョンをラジオボタンで選ぶ。
    • 「Snort execution file」にsnort.exeのパスを設定する。
    • 「Log folder」にログファイルのパスを設定する。設定したファイルが無い場合、空のファイルを作成する必要がある。
  • [General]->[Snort Options]
    • 「Configuration file」にsnort.confのパスを設定する。snort.confは/rulesフォルダの中に入っている。
  • [Wizards]->[Rules/Signatures]
    • まず、classification.configをリストに追加する。(デフォルトで入っているのはパスがついてないので駄目)このファイルも/rulesフォルダに入っている。リストに追加したら、それを選択状態にしてから、画面下部の「Classification file」の中のSelectボタンを押すとそのファイルがClassification fileに設定される。
    • 次にreference.configを追加する。(これもデフォルトで入っているのはパスがついてないので駄目)このファイルも/rulesフォルダに入っている。
    • デフォルトでリストにあるパス無しのclassification.configとreference.configは削除してOK。
  • [Alerts]->[Alert Detection]
    • 「Snort alert log/XML log file」の中の「Add alert log file」ボタンを押す。[General]->[Configuration]で設定したログファイルのパスがリストに追加される。

とりあえず、ここまでやればsnortは起動できるはず。
IDScenterのメニューから「Test settings」を実行するとコマンドプロンプトが開いてsnortの起動テストが行われる。ずら〜っと起動ログが表示されて最後に

Snort sucessfully loaded all rules and checked all rule chains!
Snort exiting

と表示されればOK。エラーが出ていたら何か設定が足りないか、間違っている。
なお、このコマンドプロンプトを閉じるのに、ウィンドウの×ボタンを押して消してしまうとIDScenterも終了するので(笑)、enterキー押して閉じる事。

　　＿
　(|＼ ＼
　 |  |￣|
　　　 ＼ ＼

見つけたので貼っとこう。(笑)