不久前,我发布了关于使用 OSSEC 作为 sudo SIEM 的文章,内容是将来自不同服务器的日志发送到一个 OSSEC 服务器,并使用相关性触发警报。总体而言,该解决方案效果很好,但最近我不得不出于负载平衡的原因将日志分开,因此现在我有以下思路:
OSSEC服务器
- /mnt/logs/unix1.log
- /mnt/logs/unix2.log
- /mnt/logs/unix3.log
- /mnt/logs/unix4.log
出于负载平衡的原因,每个日志文件都由不同的 syslog 服务器写入,总体来说效果很好。但是我遇到的问题是 OSSEC 可以针对每个日志文件单独运行关联规则,但如果有 4 次登录失败,并且它们恰好分布在 4 个日志文件中,OSSEC 在每个实例上只能看到 1 次,而不会提醒 1 个用户的 4 次登录失败。
有没有办法让 OSSEC 将文件视为一个文件?我正在寻找其他解决方案,例如 gluster/cluster 文件系统,我可以从多个服务器写入一个文件,这样可以解决这个问题。
答案1
我误解了 OSSEC 如何处理日志。这论坛中,Jesus Linares 澄清说,OSSEC 根据“解码为”对日志进行分组,并将多种日志格式视为相同。
我还通过验证 6 次失败的登录关联实际上在 4 个不同的日志文件中都有单独的日志来证实了这一点。