转自:http://one-line-sky.5d6d.com/thread-50-1-1.html
一线IT技术论坛
ossim 作为一款开源的安全网络产品,自从0.9发布就已经掀起了不小的波澜,各大中小企业纷纷安装使用。带动了不小的相关产业链!他的agent+server的分布式机制引起了很多人的关注,当然争议也颇多,因为是纯专业的安全产品,所以普通用户部署起来有一定得困难,特别是如何分布式,创建远程的数据库连接,下面就初步介绍下ossim分布式安装的配置过程:
分布式原理:
分布式主要由agent和server 2部分组成,agent包括需要的插件和sensor2个部分,通过插件捕获相应的日志信息,经过sensor分析后形成server 可读的日志信息发送给server进行关联处理。
大概步骤如下:
1, 安装插件和sensor到一台主机
配置插件conf文件信息,如snort需要在snort.conf中指定日志输出类型,可以分为syslog,tcpdumplog,alert,unfield和base输出,ossim默认的为unfield快速输出方法。(这里只写分布式接口配置,至于插件的个体功能配置就不介绍了)。
2, 配置agent的config.cfg文件信息,指定outserverIP为发送服务器端的IP地址,添加相应插件的分析文件路径,例如snort
snort=/etc/ossim/agent/plugins/snortunified.cfg
cfg文件中可以指定获取到的日志信息路径,匹配正则。
3, 重新启动server
在页面追加sensor
总结:整个分布式的关键衔接点在cfg文件上,只要指定相应的日志文件路径,那么sensor就能够分析插件所捕获的信息,发送给server,所以当做不同插件分布式的时候,只要在相应的路径,提供可分析的日志信息即可。
一线IT技术论坛
ossim 作为一款开源的安全网络产品,自从0.9发布就已经掀起了不小的波澜,各大中小企业纷纷安装使用。带动了不小的相关产业链!他的agent+server的分布式机制引起了很多人的关注,当然争议也颇多,因为是纯专业的安全产品,所以普通用户部署起来有一定得困难,特别是如何分布式,创建远程的数据库连接,下面就初步介绍下ossim分布式安装的配置过程:
分布式原理:
分布式主要由agent和server 2部分组成,agent包括需要的插件和sensor2个部分,通过插件捕获相应的日志信息,经过sensor分析后形成server 可读的日志信息发送给server进行关联处理。
大概步骤如下:
1, 安装插件和sensor到一台主机
配置插件conf文件信息,如snort需要在snort.conf中指定日志输出类型,可以分为syslog,tcpdumplog,alert,unfield和base输出,ossim默认的为unfield快速输出方法。(这里只写分布式接口配置,至于插件的个体功能配置就不介绍了)。
2, 配置agent的config.cfg文件信息,指定outserverIP为发送服务器端的IP地址,添加相应插件的分析文件路径,例如snort
snort=/etc/ossim/agent/plugins/snortunified.cfg
cfg文件中可以指定获取到的日志信息路径,匹配正则。
3, 重新启动server
在页面追加sensor
总结:整个分布式的关键衔接点在cfg文件上,只要指定相应的日志文件路径,那么sensor就能够分析插件所捕获的信息,发送给server,所以当做不同插件分布式的时候,只要在相应的路径,提供可分析的日志信息即可。
扫一扫
6079
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
