我正在设置 Security Onion 以与 Bro 一起玩,但我想将日志发送到除 ELK 之外的其他 SIEM(默认情况下安装在 Security Onion 上)。wiki将您发送至此处,将您重定向至此处。该页面只是说如果我想添加一个目的地,我将它添加到 /etc/syslog-ng/syslog-ng.conf。所以我做了:
destination d_elsa { program("sh /opt/elsa/contrib/securityonion/contrib/securityonion-elsa-syslog-ng.sh" template(t_db_parsed)); };
destination d_logstash { tcp("127.0.0.1" port(6050) template("$(format-json --scope selected_macros --scope nv_pairs --exclude DATE --key ISODATE)\n")); };
destination remote { udp("192.168.1.55" port(514)); };
前两行是标准安全洋葱安装放在那里的,我的附加行是第三行。但这不起作用。我尝试使用“远程”以外的名称。我试过tcp和udp。不仅我的其他 SIEM 没有看到它,我什至尝试了 tcpdump 并且它是空的。我到处搜索,我没有看到任何其他选项。想法?