快速n00b OSSIM问题。 我环顾四周,但还没有find我正在寻找什么。 我目前有一个Nagios,OSSEC,Nessus和Snort服务器,我想保持这些服务器的活动,只是将日志发送到OSSIM服务器,并做它的相关性和graphics。 可以这样做吗? 我见过的所有东西都是把各种软件function放在OSSIM盒子上,但我不想这样做。 我在所有的系统上运行CentOS。 谢谢。
Nagios,OSSEC,Snort和Nessus都可以login系统日志。 然后可以使用它将日志转发到OSSIM服务器。 一旦所有的日志到达那里,应该工作正常。
日志服务器
vi /etc/sysconfig/syslog SYSLOGD_OPTIONS="-m 0 -r -x"后加上-r -x来启用远程连接SYSLOGD\_OPTIONS="-m 0" SYSLOGD_OPTIONS="-m 0 -r -x" ) vi /etc/sysconfig/iptables将端口514 UDP打开到源IP,并添加以下行: -A INPUT -p udp -m udp --dport 514 -j ACCEPT 在客户端(将日志发送到日志服务器)
vi /etc/syslog.conf \*.* @IP\_OF\_LOG_SERVER的末尾添加一行 在启动或重新启动客户端期间,使用日志logging服务器上的tail -f /var/log/messages进行validation。