我正在开展一个日志聚合项目,想在其中添加一些次要的关联/安全情报。
目前,我有来自大约 400 台服务器的日志进入 syslog-ng 框。我研究了一些程序,例如 SEC(简单事件相关器)、OSSEC 等。对于 SEC,我可以轻松地让进程跟踪我正在写入的文件,并让它触发警报。
然而我必须建立许多自定义规则,而且它不会像 OSSEC 那样有漂亮的 GUI。
因此,我考虑使用 OSSEC 作为本地安装,而不是让它处理所有代理,而只是让它跟踪日志文件和行程警报。
我最担心的是,由于我没有使用 OSSEC 的代理部分,所以看起来唯一的代理是 localhost,因此会将我们看到的大量流量合并为一个大警报。如果我从 server1 和 server2 收到登录失败信息,它会将其视为同一来源,并且关联速度比将它们视为单独的服务器要快得多。
我可以将任何逻辑放入 OSSEC 中,以使这个本地/非代理配置与传入的多个服务器日志一起工作,或者您是否建议尝试一下?
答案1
答案2
一些非常快速的想法....
1)来自不同服务器的日志被定向到不同的文件夹/文件{因此你将相关性限制在文件级别}
2)将所有日志放在一起,并将服务器名称附加到每个日志行。然后使用正则表达式筛选出服务器并将其用作相关字段
此外,您每天的流量是多少?也许您可以看看 Splunk 或 Prelude(https://www.prelude-ids.org/projects/prelude)