目标:将日志从所有服务器转发到 OSSIM,格式正确且可读。
脚步:
- 在每个网络区域部署一个 NXlog 收集器/代理节点 - 完成
- 在管理区域部署一个 NXlog 收集器/主节点 - 完成
- 在管理区域部署一个 Alien Vault OSSIM - 完成
由于我不想允许所有服务器将日志发送到其安全区域之外,因此所有日志都必须转发到本地 NXlog 代理,该代理将它们转发到管理区域日志收集系统。
预期结果:服务器日志(系统日志和特定应用程序日志)必须转发到 NXlog 代理 > NXlog 主站 > OSSIM,并保持所有信息可区分为来自单个服务器。
所有 NXlog 实例都已启动并正在运行,OSSIM 也是如此。数据正在进入 OSSIM,但在“分析/安全事件”下打开单个事件显示的详细信息不足 - 唯一有用的部分是原始日志字段,它可能会显示类似以下的条目
Feb 7 10:01:01 nxlog-collector run-parts(/etc/cron.hourly)[7695 finished 0anacron
这向我表明,在链条中的某个地方必须进行一些额外的处理。在 Graylog 服务器上进行测试,我能够获得更好的结果,但可惜:我需要使用 Alien Vault OSSIM(开源版本)。