OSSIM-Snort / OSSEC / Nagios LoggingConfigの質問
クイックn00bOSSIMの質問。周りを見回しましたが、探しているものが正確に見つかりませんでした。現在、Nagios、OSSEC、Nessus、およびSnortサーバーがあり、これらのサーバーをアクティブに保ちたいのですが、ログをOSSIMサーバーに送信して、相関とグラフ化を実行させます。それはできますか?私が見たものはすべて、実際にOSSIMボックスにさまざまなソフトウェア機能を配置していますが、私はそれをしたくありません。私はすべてのシステムでCentOSを実行しています。ありがとう。
Nagios、OSSEC、Snort、およびNessusはすべてsyslogにログを記録できます。次に、これを使用してログをOSSIMサーバーに転送できます。すべてのログがそこに到着したら、正常に動作するはずです。
ログサーバー
vi /etc/sysconfig/syslog
(-r -xを編集した後の行SYSLOGD\_OPTIONS="-m 0"の結果にSYSLOGD_OPTIONS="-m 0 -r -x"を追加して、リモート接続を有効にします)- ロギングサーバーのファイアウォールでポート514UDPを
vi /etc/sysconfig/iptablesでソースのIPに開き、次の行を追加します:-A INPUT -p udp -m udp --dport 514 -j ACCEPT
クライアント上(ログをログサーバーに送信します)
vi /etc/syslog.conf- ファイルの末尾に行を追加します
\*.* @IP\_OF\_LOG_SERVER
クライアントの起動または再起動中に、ロギングサーバーでtail -f /var/log/messagesを使用して確認します。