OSSEC рассматривает несколько файлов как один
Некоторое время назад я писал об использовании OSSEC в качестве sudo SIEM для отправки журналов с различных серверов на один сервер OSSEC и использования корреляции для отключения предупреждений. В целом, это решение работало очень хорошо, но мне недавно пришлось разделить журналы по причинам балансировки нагрузки, так что теперь у меня есть что-то вроде:
OSSEC Server
- /mnt/logs/unix1.log
- /mnt/logs/unix2.log
- /mnt/logs/unix3.log
- /mnt/logs/unix4.log
Каждый файл журнала записывается другим сервером системного журнала для балансировки нагрузки, и в целом он работает довольно хорошо. Однако проблема, с которой я сталкиваюсь, заключается в том, что OSSEC может запускать правила корреляции для каждого файла журнала в отдельности, но если существует 4 неудачных входа в систему и они распределены по 4 файлам журнала, OSSEC будет видеть только 1 в каждом экземпляре, а не оповещение о 4 неудачных входах от 1 пользователя.
Есть ли способ заставить OSSEC обрабатывать файлы как один? Я смотрю на другие решения, такие как файловая система кластера / кластера, где я могу записать с нескольких серверов в один файл, что бы решить проблему.
1 ответ
Я был дезинформирован о том, как OSSEC обрабатывает журналы. На этом форуме Хесус Линарес пояснил, что OSSEC группирует журналы на основе "decoded as" и обрабатывает несколько форматов журналов одинаково.
Я также подтвердил это, проверив, что 6 неудачных корреляций входа в систему фактически имели отдельные журналы по 4 различным файлам журнала.