Быстрый вопрос о n00b OSSIM. Я осмотрелся, но не нашел именно того, что ищу. В настоящее время у меня есть серверы Nagios, OSSEC, Nessus и Snort, и я хочу, чтобы эти серверы оставались активными, но просто отправляли журналы на сервер OSSIM, чтобы он выполнял корреляцию и построение графиков. Это можно сделать? Все, что я видел, - это размещение различных программных функций в блоке OSSIM, но я не хочу этого делать. Я использую CentOS на всех системах. Спасибо.
Nagios, OSSEC, Snort и Nessus могут регистрироваться в системном журнале. Который затем можно использовать для пересылки журналов на сервер OSSIM. Должен работать нормально, когда туда поступят все журналы.
Сервер журнала
vi /etc/sysconfig/syslog
-r -x
к линии SYSLOGD\_OPTIONS="-m 0"
результат после правок SYSLOGD_OPTIONS="-m 0 -r -x"
) vi /etc/sysconfig/iptables
и добавьте строку: -A INPUT -p udp -m udp --dport 514 -j ACCEPT
На клиенте (отправляет журналы на сервер журналов)
vi /etc/syslog.conf
\*.* @IP\_OF\_LOG_SERVER
Проверить с помощью tail -f /var/log/messages
на сервере регистрации во время загрузки или перезагрузки клиента.