Назад | Перейти на главную страницу

OSSIM - Вопрос о конфигурации журнала Snort / OSSEC / Nagios

Быстрый вопрос о n00b OSSIM. Я осмотрелся, но не нашел именно того, что ищу. В настоящее время у меня есть серверы Nagios, OSSEC, Nessus и Snort, и я хочу, чтобы эти серверы оставались активными, но просто отправляли журналы на сервер OSSIM, чтобы он выполнял корреляцию и построение графиков. Это можно сделать? Все, что я видел, - это размещение различных программных функций в блоке OSSIM, но я не хочу этого делать. Я использую CentOS на всех системах. Спасибо.

Nagios, OSSEC, Snort и Nessus могут регистрироваться в системном журнале. Который затем можно использовать для пересылки журналов на сервер OSSIM. Должен работать нормально, когда туда поступят все журналы.

Сервер журнала

  1. vi /etc/sysconfig/syslog
    (включите удаленные подключения, добавив -r -x к линии SYSLOGD\_OPTIONS="-m 0" результат после правок SYSLOGD_OPTIONS="-m 0 -r -x")
  2. Откройте порт 514 UDP на брандмауэре сервера журналов для IP-адреса источника с vi /etc/sysconfig/iptables и добавьте строку: -A INPUT -p udp -m udp --dport 514 -j ACCEPT

На клиенте (отправляет журналы на сервер журналов)

  1. vi /etc/syslog.conf
  2. добавить строку в конец файла \*.* @IP\_OF\_LOG_SERVER

Проверить с помощью tail -f /var/log/messages на сервере регистрации во время загрузки или перезагрузки клиента.