0

我对ossim很陌生。我已将 ossim 3.1 安装到虚拟机(vmware)上

我有两个问题:

1) 我已经从 ossim-setup 启用了 SYSLOG。现在我在 ANALYSIS-> SIEM 中收到了大量的 syslog 消息。如何修改记录率?如何管理 syslog 配置?我查找了 syslog conf 文件,但没有。我只能找到 rsyslog 文件。此外,如果我这样做

alienvault:~# ps aux | grep sys
root      3481  0.1  0.0   2492  1416 ?        S    08:51   0:12 /var/ossec/bin/ossec syscheckd
root      5951  0.0  0.0  35512  1416 ?        Sl   08:58   0:00 /usr/sbin/rsyslogd -c3 -x
root     18427  0.0  0.0   1716   636 pts/0    S+   11:29   0:00 grep --color=auto sys

我知道只有 rsyslogd 正在运行

2) 我已经从 ossim-setup 启用了 Dionaea,我正在尝试将其日志发送到 ossim,但没有任何结果。我怎样才能做到这一点?在那之后,我是否应该做其他事情来让 ossim 将 Dioanea 的日志与其他日志相关联?

谢谢

4

3 回答 3

9

检查远程服务器上的 rsyslog 配置(默认位于 /etc/rsyslog.conf )。它可能使用 UDP 或 TCP。如果是 UDP,请使用

*.* @hostname:<port>

如果是 TCP,

*.* @@hostname:<port>

您可以通过检查该行来获取端口号 -

$UDPServerRun <port>
$TCPServerRun <port>

您可以使用 Rsyslog 根据您的 Dioanea 服务器的主机名或 IP 地址设置过滤规则,并将其写入单独的文件(如果这是您想要的)。

于 2013-07-22T02:11:19.890 回答
6

从 rsyslog 转发日志可以很容易地设置。您需要编辑/etc/rsyslog.conf文件并添加以下行:

*.* @@remote-host:514

它将设置您的本地 rsyslog 以将所有syslog 消息转发到“远程主机”,514这是 rsyslogd 服务器的端口号。您可以在要发送日志的所有客户端上添加上述行。您可以在官方 Rsyslog 项目网站上了解更多信息

于 2012-07-11T07:02:20.003 回答
0

最近有一个补丁可以让您将 Dionaea 事件发送到 syslog:

http://sourceforge.net/p/nepenthes/mailman/message/32024205/

于 2014-03-17T20:59:46.537 回答