我一直负责硬化我们公司的linux服务器。 概述的问题之一是日志存储在服务器上,这提出了两个问题:
为了解决这两个问题,计划是将生产环境生成的所有日志转发到安全的中央日志logging服务器。
我将使用OSSEC HIPS进行入侵检测。 从我收集的信息中,OSSEC从其节点凝结日志,从而既提供日志的集中pipe理,又提供IDS监控; 一箭双雕。
我想知道的是,我是否应该使用其他工具来转发和存储rsyslog等日志,或者这是否过分,OSSEC将足以在中央日志服务器上保留所有X日志的日志。
不是一个矫枉过正。 发送syslog到另一个主机(rsyslogd可以做)是一个非常好的做法。
OSSEC代理是有价值的,但不适用于系统日志转发。 OSSEC只存储它感兴趣的特定错误。 对于事后分析,您需要更多,您需要完整的日志。
使用OSSEC代理程序是因为它提供了监视二进制文件修改,rootkit检测和类似fail2ban的function(又名主动响应)。
OSSEC比rsyslog做得更多。 我想说的是设置rsyslog或者syslog-ng来实时发送日志事件(或者至less是一个攻击者妥协了服务器的难以到达的服务器)将是第一件事情。 安装真的很简单。 按照这个build立一个HIDS解决scheme。 OSSEC不仅仅是日志聚合。
以下是OSSECfunction列表: http : //ossec-docs.readthedocs.org/en/latest/manual/non-technical-overview.html我现在正在研究OSSEC。 曾经看过Stealth文件完整性检查器,最初看起来非常好,因为客户端上没有安装任何东西,实际上客户端上几乎没有任何跟踪它的痕迹。 隐身有一些缺点,但很快就会显现出来。 我现在正在写一篇关于这一切的博客文章,如果你需要更多的帮助,大声说出来。 我将张贴到http://blog.binarymist.net