ossim的日志处理流程

最新推荐文章于 2024-05-16 14:15:00 发布
最新推荐文章于 2024-05-16 14:15:00 发布
阅读量4.4k 收藏
点赞数
原创作品,允许转载,转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://lymrg.blog.51cto.com/1551327/394559

设备把日志信息以syslog的形式发给agent,日志存储在agent上面的/var/log/xxx.log下面,agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志,然后根据插件
里面写的正则表达式来提取日志的关键字段发给server,server再将日志分析之后在ossim上面呈
现出来

/etc/ossim/agent/plugins下面的插件,这些是系统自带的还可以自己来编写插件,核心是掌握正则表达式的写法,能够根据不同的日志来提取自己感兴趣的内容。
aladdin.cfg         lucent-brick.cfg        pureftpd.cfg
allot.cfg           m0n0wall.cfg            radiator.cfg
apache.cfg          malwaredomainlist.cfg   raslogd.cfg
arpalert.cfg        mcafee-antispam.cfg     realsecure.cfg
arpwatch.cfg        mcafee.cfg              rrd.cfg
arpwatch_eth0.cfg   modsecurity.cfg         rsa-secureid.cfg
avast.cfg           moodle.cfg              serviceguard.cfg
bind.cfg            motion.cfg              session-monitor.cfg
bro-ids.cfg         mwcollect.cfg           sidewinder.cfg
cisco-acs.cfg       nagios.cfg              siteprotector.cfg
cisco-ids.cfg       nepenthes.cfg           sitescope.cfg
cisco-ips.cfg       nessus-detector.cfg     snare.cfg
cisco-pix.cfg       nessus-monitor.cfg      snort_syslog.cfg
cisco-router.cfg    netgear.cfg             snortunified.cfg
cisco-vpn.cfg       netscreen-firewall.cfg  snortunified_eth0.cfg
clamav.cfg          netscreen-manager.cfg   sonicwall.cfg
clurgmgr.cfg        netscreen-nsm.cfg       sophos.cfg
courier.cfg         nmap-monitor.cfg        spamassassin.cfg
cyberguard.cfg      nortel-switch.cfg       squid.cfg
dhcp.cfg            ntop-monitor.cfg        squidGuard.cfg
dragon.cfg          ntsyslog.cfg            ssh.cfg
exchange.cfg        ocs-monitor.cfg         stonegate.cfg
f5.cfg              openldap.cfg            sudo.cfg
fidelis.cfg         opennms-monitor.cfg     symantec-ams.cfg
forensics-db-1.cfg  optenet.cfg             symantec-epm.cfg
fortigate.cfg       oracle1.cfg             syslog.cfg
fw1-alt.cfg         oracle.cfg              tarantella.cfg
fw1ngr60.cfg        osiris.cfg              tcptrack-monitor.cfg
gfi.cfg             ossec.cfg               tippingpoint.cfg
heartbeat.cfg       ossim-agent.cfg         topsec.cfg
honeyd.cfg          ossim-monitor.cfg       trendmicro.cfg
hp-eva.cfg          p0f.cfg                 vmware-workstation.cfg
iis.cfg             p0f_eth0.cfg            vsftpd.cfg
intrushield.cfg     pads.cfg                vyatta.cfg
ipfw.cfg            pads_eth0.cfg           webmin.cfg
iphone.cfg          paloalto.cfg            whois-monitor.cfg
iptables.cfg        pam_unix.cfg            wmi-application-logger.cfg
ironport.cfg        panda-as.cfg            wmi-monitor.cfg
isa.cfg             panda-se.cfg            wmi-security-logger.cfg
juniper-vpn.cfg     pf.cfg                  wmi-system-logger.cfg
kismet.cfg          ping-monitor.cfg
linuxdhcp.cfg       postfix.cfg
要让agent调用某个插件只需要在这个文件里面写上插件的路径就可以了
/etc/ossim/agent/config.cfg 一下展示部分插件的调用:
[plugins]
arpwatch_eth0=/etc/ossim/agent/plugins/arpwatch_eth0.cfg
nmap-monitor=/etc/ossim/agent/plugins/nmap-monitor.cfg
ntop-monitor=/etc/ossim/agent/plugins/ntop-monitor.cfg
oracle=/etc/ossim/agent/plugins/oracle.cfg
ossec=/etc/ossim/agent/plugins/ossec.cfg
ossim-monitor=/etc/ossim/agent/plugins/ossim-monitor.cfg
p0f_eth0=/etc/ossim/agent/plugins/p0f_eth0.cfg
pads_eth0=/etc/ossim/agent/plugins/pads_eth0.cfg
pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg
ping-monitor=/etc/ossim/agent/plugins/ping-monitor.cfg
squid=/etc/ossim/agent/plugins/squid.cfg
ssh=/etc/ossim/agent/plugins/ssh.cfg
sudo=/etc/ossim/agent/plugins/sudo.cfg
whois-monitor=/etc/ossim/agent/plugins/whois-monitor.cfg
wmi-monitor=/etc/ossim/agent/plugins/wmi-monitor.cfg

cnbird2008
关注
ossim
security_yj的博客
09-07 665
AlienVault® OSSIM™, Open Source Security Information and Event Management (SIEM), provides you with a feature-rich open source SIEM complete with event collection, normalization and correlation.
OSSIM介绍
热门推荐
Alan Zhuang的博客
02-01 1万+
(一)OSSIM 介绍:     OSSIM (OPEN Source Sevurity Informatiion System):开源安全信息管理系统,由美国的Alien Vault公司开发,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志,识别并解决重大安全事件(优先级,标识出有问题的日
OSSIM轻松分析网络设备日志
weixin_33716557的博客
11-04 694
OSSIM轻松分析网络设备日志      基于插件的日志收集与处理模式,使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志,下面展示一些硬件设备日志的实例,我们在RAW LOG界面里,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件,你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。 在系统中通过...
开源OSSIM系统具备日志采集和分析的能力吗?
李晨光原创IT博客
11-12 518
首次安装完OSSIM系统之后,进入WebUI界面发现RAWLogs菜单下没有内容,不免会心存疑虑,开源OSSIM是否具备日志采集和分析的能力。 RAW LOGS是一个原始日志可视化展示的模块,在商业版的OSSIM提供,开源版不提供此功能。开源版OSSIM具备完整的日志采集处理和分析的能力。 下面我们以收集分析Linux下的SSH日志为例进行说明。以下是一台以 All IN ONE 模式安装的开源OSSIM 5.0为例。 Linux下SSH远程登录服务器失败的日志记录在/var/log/aut
OSSIM中一条日志的发展历程
08-22 87
OSSIM中一条日志的发展历程 转载于:https://my.oschina.net/chenguang/blog/3095913
ossim收集linux日志,ossim日志处理流程
weixin_42510768的博客
05-03 446
设备把日志信息以syslog的形式发给agent,日志存储在agent上面的/var/log/xxx.log下面,agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志,然后根据插件里面写的正则表达式来提取日志的关键字段发给server,server再将日志分析之后在ossim上面呈现出来/etc/ossim/agent...
OSSIM技术研究
12-01
OSSIM Server负责处理数据的聚合、分析和报告,而Sensor则负责收集原始数据,并将其发送到OSSIM Server。 在部署OSSIM时,需要考虑几个方面: - 部署OSSIM后的安全收益:OSSIM提供包括资产管理、漏洞扫描、入侵检测...
OSSIM开源安全信息管理系统实践-视频教程网盘链接提取码下载.txt
10-05
- **防患于未然**:通过对网络流量的实时监控以及日志数据分析,OSSIM能够帮助企业在安全事件发生前就识别出潜在的风险。 - **快速定位攻击**:当安全事件发生时,OSSIM能够快速地锁定攻击源,提供详细的攻击路径和...
OSSIM web SIEM 页面了解
Alan Zhuang的博客
12-14 2546
Ossim 简介:   OSSIM(OPEN Source Sevurity InformatiionSystem):开源安全信息管理系统,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控的功能的基础平台。它的目的是能够提供一种集中式,有组织,能够更好的进行监测和显示的框架型系统。 开放的框架集成解决方案 开源软件:
ossim agent的插件和日志格式化过程
anzhuangguai的专栏
10-13 2129
主要流程: 1 设备把日志信息以syslog的形式发给agent, 2 日志存储在agent上面的/var/log/xxx.log下面, 3 agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志, 4 然后根据插件里面写的正则表达式来提取日志的关键字段发给server,server再将日志
【网络安全】OSSIM平台网络日志关联分析实战
最新发布
2401_84208172的博客
05-16 1077
对于新手而言从一张白纸开始写规则有些难了,但是对照系统给出的默认规则,照葫芦画瓢还是可以实现的,不管这个模型是否完善,先用起来,然后逐步修改。在合适的时间,对系统进行渗透测试,然后监控SIEM的反应,观察它是否产生正确的警报,而警报是否提供足够的信息来协助相应这弄清楚发生了什么威胁,如果没有那就需要修改规则,然后你需要不断的优化阈值。本文简要为大家介绍了OSSIM平台下的网络日志关联分析技术希望能给大家在日常网络安全运维中提供一些帮助。黑客&网络安全如何学习。
OSSIM5.0 重要日志加入到知识库
Alan Zhuang的博客
12-15 1315
OSSIM系统中采用了共享信息的接口,称之为知识库(KBD),知识库是具有一定智能的信息安全管理软件,在开源领域中目前只有OSSIM系统具有基于知识的系统。在此之前进行安全评估和漏洞分析时,经常会碰到对于海量信息查找缓慢,查找效率底下等问题,如今在Ossim中使用了知识库提高了我们分析问题的速度。知识库往往通过关联分析引擎联动,为应急响应提供了知识保障。
OSSIM系统用户审计
weixin_33805992的博客
06-24 103
OSSIM系统用户审计 注意CODE下方的数字表示审计代码。审计代码分类如下图所示。今后谁在高峰期启动了漏扫,出现了问题,别再不承认喏。不过这种审计局限于WebUI下操作。...
ossec主要功能介绍
AlexTan_的博客
07-26 8623
Ossec 主要功能OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检测 ,windows注册表监控,rootkit检测,实时报警及动态响影。完整性检测Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 在网络中有许多类型的攻击和攻击载体,说起这些攻击,有一种攻击是很特别的,他们留下一个跟踪程序,并总是想尽方
OSSIM服务端口说明
weixin_33693070的博客
09-25 527
  1.背景当Sensor和Server之间无法通讯时会造成以下子系统无法显示数据:Ø  Dashboards 仪表盘Ø  Analysis→SIEMØ  Vulnerabilities漏洞扫描无法正常工作Ø  Profiles→NtopØ  Detetion→OSSEC Server失效Ø  Deployment→Alienvault→Center无法联系Ø  Asset可启动扫描单扫描到的资源...
利用OSSIM收集分析远程apache日志
weixin_34128534的博客
11-10 261
利用OSSIM收集分析远程apache日志(视频教程) 环境: OSSIM Server : 192.168.11.228 日志搜集器 Http Server : 192.168.11.15 日志发生器 实验拓扑: 功能: 通过设置192.168.11.15机器上的rsyslog转发到192.168.11.228实现日志收集,利用...
OSSIM下自动化配置管理工具Ansible实战
weixin_34233856的博客
03-25 71
syslog工具_10大开源安全信息和事件管理SIEM工具
weixin_39552472的博客
12-07 1319
企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分析和关联以及报告模板,企业才能抵御现代网络攻击。但是,SIEM也会给你的企业IT部门带来严重问题。通常,SIEM的部署和维护成本高昂;其解决方案在资源和时间方面都需要运营成本。此外,SIEM在部署时需要不断进...
ossim关联分析算法流程
05-13
OSSIM(Open Source Software Image Map)关联分析算法的流程如下: 1. 数据预处理:对输入数据进行清洗、格式化等操作,以确保数据的质量。 2. 特征提取:从输入数据中提取有用的特征信息,以便进行后续的分析。 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值