OSSIM - вопрос конфигурации Snort/OSSEC/Nagios Logging

Question

OSSIM - вопрос конфигурации Snort/OSSEC/Nagios Logging

Быстрый вопрос NSSB. Я посмотрел вокруг, но не нашел именно то, что я ищу. В настоящее время у меня есть серверы Nagios, OSSEC, Nessus и Snort, и я хочу, чтобы эти серверы были активными, но я просто отправляю журналы на сервер OSSIM и выполняю их сопоставление и построение графиков. Это может быть сделано? Все, что я видел, - это на самом деле помещать различные программные функции в поле OSSIM, но я не хочу этого делать. Я использую CentOS на всех системах. Благодарю.

3

security logging ossim

Источник

26 авг '09 в 20:54

2 ответа

Другие вопросы по тегам security logging ossim

Cian 26 авг '09 в 22:14 2009-08-26 22:14 · Answer 1 · 2009-08-26 22:14

Nagios, OSSEC, Snort и Nessus могут войти в системный журнал. Что вы могли бы затем использовать для пересылки журналов на сервер OSSIM. Должно работать нормально, когда все журналы поступают туда.

3

Источник

Cian 26 авг '09 в 22:14

ForgeMan 31 авг '09 в 01:21 2009-08-31 01:21 · Answer 2 · 2009-08-31 01:21

Лог-сервер

vi /etc/sysconfig/syslog
(включить удаленные подключения, добавив -r -x к линии SYSLOGD\_OPTIONS="-m 0" результат после правок SYSLOGD_OPTIONS="-m 0 -r -x")
Откройте порт 514 UDP на брандмауэре сервера регистрации для IP-адреса источника с vi /etc/sysconfig/iptables и добавьте строку: -A INPUT -p udp -m udp --dport 514 -j ACCEPT

На клиенте (отправляет журналы на сервер журналов)

vi /etc/syslog.conf
добавить строку в конец файла \*.* @IP\_OF\_LOG_SERVER

Проверить с помощью tail -f /var/log/messages на сервере регистрации во время загрузки или перезагрузки клиента.