翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/index.html
输出及告警配置
OSSEC包含许多向其他系统或应用程序发送警报的方法。Syslog、电子邮件和向SQL数据库发送警报是典型的方法。这些输出方法只发送警报,而不是完整的日志数据。由于代理不生成警报,所以这些选项仅是服务器端。
通过syslog发送警报
Syslog输出允许OSSEC管理员将OSSEC警报发送到一个或多个Syslog服务器。因为OSSEC只通过syslog发送警报,所以这些选项只用于服务器或本地安装。
OSSEC还支持通过cef、json和发送警报到Splunk。
配置选项
syslog_output
server-syslog服务器IP
port-syslog服务器监听端口
level-告警级别
group-属于本组的警告将被转发。
rule_id-属于本规则的警告将被转发。
location-属于该地址的警告将被转发。
use_fqdn-默认情况下,在生成syslog消息时,ossec会在第一个阶段('.')中删除主机名。将这个选项设置为“yes”将导致它使用服务器上配置的完整主机名。
format-
可以配置OSSEC服务器来通过syslog发送警报。在本例中,所有警报都发送到192.168.4.1,级别10以上级别的警报也被发送到10.1.1.1:
向单个电子邮件地址发出警报
在/var/ossec/etc/ossec.conf中的<global>中添加如下:
每日邮件报告
每天的电子邮件报告都是当天的OSSEC警告的摘要。
在/var/ossec/etc/ossec.conf中配置
属性:
reports
group
categories
rule
level
location
srcip
user
title
email_to
showlogs
存储警报为JSON(该特性首次出现在OSSEC 2.9中。)
将输出发送到数据库
支持告警发送到MySQL和PostgreSQL
配置选项
在ossec.conf中
属性
database_output
hostname
username
password
database
type
启用数据库支持
MySQL
PostgreSQL
输出及告警配置
OSSEC包含许多向其他系统或应用程序发送警报的方法。Syslog、电子邮件和向SQL数据库发送警报是典型的方法。这些输出方法只发送警报,而不是完整的日志数据。由于代理不生成警报,所以这些选项仅是服务器端。
通过syslog发送警报
Syslog输出允许OSSEC管理员将OSSEC警报发送到一个或多个Syslog服务器。因为OSSEC只通过syslog发送警报,所以这些选项只用于服务器或本地安装。
OSSEC还支持通过cef、json和发送警报到Splunk。
配置选项
syslog_output
server-syslog服务器IP
port-syslog服务器监听端口
level-告警级别
group-属于本组的警告将被转发。
rule_id-属于本规则的警告将被转发。
location-属于该地址的警告将被转发。
use_fqdn-默认情况下,在生成syslog消息时,ossec会在第一个阶段('.')中删除主机名。将这个选项设置为“yes”将导致它使用服务器上配置的完整主机名。
format-
<syslog_output>
<server>10.0.0.1</server>
<port>514</port>
<format>cef</format>
</syslog_output>
使Syslog输出
可以配置OSSEC服务器来通过syslog发送警报。在本例中,所有警报都发送到192.168.4.1,级别10以上级别的警报也被发送到10.1.1.1:
<ossec_config>
...
<syslog_output>
<server>192.168.4.1</server>
</syslog_output>
<syslog_output>
<level>10</level>
<server>10.1.1.1</server>
</syslog_output>
...
</ossec_config>
在进行了更改之后,应该启用客户机-syslog流程:
# /var/ossec/bin/ossec-control enable client-syslog
重新启动OSSEC:
# /var/ossec/bin/ossec-control restart
osseccsyslog应该与其他的OSSEC进程一起开始:
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
...
Started ossec-csyslogd...
...
日志显示:
# tail -n 1000 /var/ossec/logs/ossec.log | grep csyslog
2008/07/25 12:55:16 ossec-csyslogd: INFO: Started (pid: 19412).
2008/07/25 12:55:16 ossec-csyslogd: INFO: Forwarding alerts via syslog to: ‘192.168.4.1:514′.
2008/07/25 12:55:16 ossec-csyslogd: INFO: Forwarding alerts via syslog to: ‘10.1.1.1:514′.
通过电子邮件发送警报
向单个电子邮件地址发出警报
在/var/ossec/etc/ossec.conf中的<global>中添加如下:
<ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>me@example.com</email_to>
<smtp_server>mx.example.com..</smtp_server>
<email_from>ossec@example.com</email_from>
设置允许发送的最小告警级别
<ossec_config>
<alerts>
<email_alert_level>10</email_alert_level>
重启
# /var/ossec/bin/ossec-control restart
每日邮件报告
每天的电子邮件报告都是当天的OSSEC警告的摘要。
在/var/ossec/etc/ossec.conf中配置
属性:
reports
group
categories
rule
level
location
srcip
user
title
email_to
showlogs
存储警报为JSON(该特性首次出现在OSSEC 2.9中。)
将输出发送到数据库
支持告警发送到MySQL和PostgreSQL
配置选项
在ossec.conf中
属性
database_output
hostname
username
password
database
type
启用数据库支持
# cd ossec-hids-*
# cd src; make setdb; cd ..
# ./install.sh
在配置中启用数据库输出
# /var/ossec/bin/ossec-control enable database
数据库特定的设置
MySQL
PostgreSQL