前些日子,我发布了关于使用OSSEC作为sudo SIEM的原理,只要将来自不同服务器的日志发送到一个OSSEC服务器,并使用相关性来提醒警报即可。 总的来说,解决scheme工作得非常好,但最近我不得不分出日志以达到负载平衡的原因,所以现在我有以下几点:
OSSEC服务器
每个日志文件都是由不同的系统日志服务器写的,用于负载平衡的原因,它的整体效果非常好。 然而,我遇到的问题是,OSSEC可以针对每个日志文件单独运行关联规则,但是如果有4个login失败,并且它们恰好分布在4个日志文件中,那么OSSEC只会在每个实例上看到1,而不是来自1个用户的4次失败login警报。
无论如何,OSSEC将文件视为一个整体吗? 我正在寻找其他解决scheme,例如gluster / cluster文件系统,我可以从多个服务器写入一个文件来解决问题。
我误解了OSSEC处理日志的方式。 通过这个论坛,耶稣利纳雷斯澄清说,OSSEC组织login“解码为”的基础上,对待多个日志格式相同。
我也证实了这一点,通过validation一个6失败的login关联实际上有单独的日志4个不同的日志文件。