Некоторое время назад я писал об использовании OSSEC в качестве sudo SIEM для отправки журналов с различных серверов на один сервер OSSEC и использования корреляции для аварийных предупреждений. В целом это решение работало очень хорошо, но недавно мне пришлось разделить журналы для балансировки нагрузки, поэтому теперь у меня есть что-то вроде:
Сервер OSSEC
Каждый файл журнала записывается отдельным сервером системного журнала по причинам балансировки нагрузки, и в целом он работает довольно хорошо. Однако проблема, с которой я сталкиваюсь, заключается в том, что OSSEC может запускать правила корреляции для каждого файла журнала индивидуально, но если есть 4 неудачных входа в систему и они распределены по 4 файлам журнала, OSSEC будет видеть только 1 в каждом экземпляре, а не предупреждение о 4 неудачных попытках входа от 1 пользователя.
Есть ли способ заставить OSSEC обрабатывать файлы как один? Я ищу другие решения, такие как файловая система gluster / cluster, где я могу писать с нескольких серверов в один файл, что решит проблему.
Меня дезинформировали о том, как OSSEC обрабатывает логи. За этот На форуме Хесус Линарес пояснил, что OSSEC группирует журналы на основе «декодировано как» и одинаково обрабатывает несколько форматов журналов.
Я также подтвердил это, проверив, что корреляция 6 неудачных попыток входа на самом деле имела отдельные журналы по 4 различным файлам журналов.