快速新手 OSSIM 问题。我四处寻找,但还没有找到我正在寻找的东西。我目前有 Nagios、OSSEC、Nessus 和 Snort 服务器,我想让这些服务器保持活动状态,但只需将日志发送到 OSSIM 服务器并让其进行关联和绘图。可以这样做吗?我看到的一切都将各种软件功能实际放在 OSSIM 框上,但我不想这样做。我在所有系统上运行 CentOS。谢谢。
答案1
Nagios、OSSEC、Snort 和 Nessus 都可以记录到 syslog。然后您可以使用它将日志转发到 OSSIM 服务器。一旦所有日志都到达那里,它应该就可以正常工作。
答案2
日志服务器
vi /etc/sysconfig/syslog
(通过添加到编辑后的-r -x行结果 来启用远程连接)SYSLOGD\_OPTIONS="-m 0"SYSLOGD_OPTIONS="-m 0 -r -x"- 在日志服务器的防火墙上打开 514 UDP 端口,并将其指向源 IP,然后
vi /etc/sysconfig/iptables添加以下行:-A INPUT -p udp -m udp --dport 514 -j ACCEPT
在客户端(将日志发送到日志服务器)
vi /etc/syslog.conf- 在文件末尾添加一行
\*.* @IP\_OF\_LOG_SERVER
tail -f /var/log/messages在客户端启动或重新启动期间使用日志服务器进行验证。