Graylog联动与Ossec实现安全日志分析

最新推荐文章于 2024-08-28 16:28:44 发布
最新推荐文章于 2024-08-28 16:28:44 发布
阅读量337 收藏
点赞数
文章标签: 运维 java
原文链接:http://blog.51cto.com/13950323/2370816
版权

Graylog联动与Ossec实现安全日志分析

Graylog
安装包
mongodb-org-server-4.0.6-1.el6.x86_64.rpm
jre-8u191-linux-x64.rpm
elasticsearch-6.5.3.rpm
graylog-server-2.5.1-1.noarch.rpm
pwgen-2.08-1.el6.x86_64.rpm

[^注意]: Elasticsearch需要 5或更高版本,MongoDB 需要 3.6或更高版本

安装
MongoDB
yum update -y  openssl     #MongoDB安装需要openssl>=1.0.1
rpm -ivh mongodb-org-server-4.0.6-1.el6.x86_64.rpm
service  mongod start
Elasticsearch
rpm -ivh jre-8u191-linux-x64.rpm       #如不使用rpm包,需修改Graylog启动脚本定义的JAVA命令路径
rpm -ivh elasticsearch-6.5.3.rpm 
vim /etc/elasticsearch/elasticsearch.yml
 取消cluster.name注释,并更改
 cluster.name: graylog
service elasticsearch start
Graylog
rpm -ivh graylog-server-2.5.1-1.noarch.rpm
rpm -ivh pwgen-2.08-1.el6.x86_64.rpm

pwgen -N 1 -s 96        #生成password_secret密码
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1     #生成root_password_sha2密码

vim /etc/graylog/server/server.conf 
password_secret =   #输入生成的password_secret密码
root_password_sha2 =  #输入生成的root_password_sha2密码
root_timezone = Asia/Shanghai
rest_listen_uri =  http://192.168.198.131:9000/api/
web_listen_uri = http://192.168.198.131:9000/
allow_highlighting = true #运行查询结果高亮)
elasticsearch_shards = 1 #当前只安装了一个elasticsearch)
elasticsearch_index_prefix = graylog
Ossec
安装包
ossec-hids-3.1.0.tar.gz
安装
服务端
yum install -y gcc-c++ make
tar -xvf ossec-hids-3.1.0.tar.gz 解压
cd ossec-hids-3.1.0/src/os_dbd/
yum install - y postgresql-devel
./install.sh

您希望哪一种安装 (server, agent, local or help)? server    #选server 下面的根据提示选择
客户端
安装同服务端
您希望哪一种安装 (server, agent, local or help)? agent
服务端添加客户端
  • 服务端
 /var/ossec/bin/manage_agents
 A
 根据提示操作可以获取到Key,将Key保存

 /var/ossec/bin/ossec-control start  #启动服务端
  • 客户端
/var/ossec/bin/manage_agents
I
输入服务端的Key

/var/ossec/bin/ossec-control start  #启动客户端
  • 测试
连接成功后,可以在客户端失败登录几次在以下路径可以查看到日志。
/var/ossec/logs/alerts/alerts.log
Graylog与Ossec联动
Ossec
vim /var/ossec/etc/ossec.conf  修改Ossec配置文件
 <remote>
    <connection>syslog</connection>
     <allowed-ips>192.168.198.0/24</allowed-ips>   #增加可以连接的网段,<要比上一行少一格
  </remote>

   <syslog_output>
    <server>192.168.198.133</server>   #GraylogIP地址
    <port>12000</port>                 #Graylog Input端口
    <format>cef</format>               #输出格式
   </syslog_output>

 /var/ossec/bin/ossec-control  enable client-syslog  #开启syslog功能
 /var/ossec/bin/ossec-control  restart    #重启

Graylog

#日志采集
选择 System/Inputs
在其中找到cef采集方式,端口填写Ossec.conf中<syslog_output>填写的端口。

转载于:https://blog.51cto.com/13950323/2370816

OSSEC HIDS 功能有日志分析
01-02
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。
OSSIM平台安全事件关联分析实践
weixin_34212189的博客
04-05 271
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSEC主要功能及原理+详细配置+日志文件分析
热门推荐
AlexTan_的博客
07-31 3万+
作者:谭丙章 E-mail:feifengwind@163.comOSSEC主要功能及原理OSSEC属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。OSSEC是一个非常典型的主机型入侵检 测
日志审计-graylog ssh登录超过6次告警
qq_41167620的博客
08-22 1070
PAM日志将会追加trytime1Failed password将会追加server_ipGraylog Alert聚合规则PAM日志聚合规则1、字段匹配首先过滤日志中的字段在进行聚合匹配前先对周期内的日志根据源目的IP分类对同类日志,配置聚合规则,失败次数大于4就告警测试尝试登录,且填写错误密码,登录6次查看告警内容问题:1、graylog运行状态graylog所有的功能都是基于日志的,如果不能连续提供日志,grayLog所有功能就会暂停;
Graylog-日志系统简介
这有一片海的博客
11-12 7918
Graylog 开源版官网:Graylog是一个开源的日志聚合、分析、审计、展现和预警工具。在功能上来说,和ELK类似,但又比ELK要简单很多。依靠着更加简洁,高效,部署使用简单的优势很快受到许多人的青睐。当然,在扩展性上面确实没有比ELK好,但是其有商业版本可以选择。Input表示日志数据的来源,对不同来源的日志可以通过Extractors来进行日志的字段转换,比如对Nginx访问日志进行字段拆分,解析状态码、URL等数据。然后可以通过pipeline建立数据过滤规则。
OSSEC HIDS:全面的日志分析入侵检测系统
SEM/SIM解决方案专注于收集、分析和报告安全事件数据,而OSSEC的集中式日志管理和复杂的分析引擎正好之匹配。ISP、大学和数据中心通常需要这样的能力来监控和分析大量日志数据,确保网络安全和系统正常运行。 ...
基于ossec logstash es大数据安全关联分析
07-08
OSSEC(Open Source Security Event Correlation)是一款开源的主机入侵检测系统(HIDS),它能够监控和分析来自不同系统的日志和事件数据,从而检测出潜在的安全威胁。OSSEC支持多种平台,包括Windows、Linux、Unix...
Log_Analysis_using_OSSEC.pdf
08-07
OSSEC does “security log analysis” It is not a log management tool Only stores alerts, not every single log I still recommend log management and long term storage of ALL logs Security Log Analysis ...
信息安全_数据安全_Threat Hunting with OSSEC.pdf
08-22
OSSEC作为一个基于客户端-服务器架构的安全系统,支持UNIX、Windows和MacOS平台,能进行日志收集分析,同时提供文件完整性监控(Syscheck)、rootkit检测和第三方工具的交互。OSSEC还具备主动响应功能,并且有...
使用graylog3.0收集open×××日志进行审计
weixin_34160277的博客
06-17 903
公司使用开源的open,我们需要收集服务器上的日志作为审计。open×××的日志保存在/etc/open/下,主要有open.log和open-status.log两个日志文件。可以查看到一些系统信息链接信息,用户信息 我们只需要审计,所以只用收集open***-status.log即可 收集方法是在open***服务器上安装sidcar代理程序和filebeate日志收集程序,收集日志发送给g...
易学笔记-Graylog日志工具/1 安装过程/1.5 在线安装Graylog
u011830122的专栏
11-14 607
在线安装Graylog 获取graylog安装包: [root@zabbix yum.repos.d]# rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.1-repository_latest.rpm 在线安装graylog [root@zabbix yum.repos.d]# yum install gray...
最好用的开源日志分析工具
weixin_30698527的博客
04-30 479
监控网络活动既重要又繁琐,以下这些工具可以使它更容易。 监控网络活动是一项繁琐的工作,但有充分的理由这样做。例如,它允许你查找和调查工作站和连接到网络的设备及服务器上的可疑登录,同时确定管理员滥用了什么。你还可以跟踪软件安装和数据传输,以实时识别潜在问题,而不是在损坏发生后才进行跟踪。这些日志还有助于使你的公司遵守适用于在欧盟范围内运营的任何实体的通用数据保护条例(GFP...
Graylog4.0部署脚本
King config
09-30 475
所需要的包 所有的RPM包已经打包上传,脚本和包在同级目录下,运行脚本即可。 https://download.csdn.net/download/qq_26129413/26260066 elasticsearch-oss-7.10.2-x86_64.rpm filebeat-7.15.0-x86_64.rpm graylog-enterprise-integrations-plugins-4.0.13-1.noarch.rpm graylog-enterprise-plugins-4.0.13-1.n
graylog实现日志监控
woshiwjma956的博客
04-13 2512
graylog日志监控告警
OSSEC文档——输出及告警配置
c1052981766的专栏
02-28 2391
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/index.html输出及告警配置 OSSEC包含许多向其他系统或应用程序发送警报的方法。Syslog、电子邮件和向SQL数据库发送警报是典型的方法。这些输出方法只发送警报,而不是完整的日志数据。由于代理不生成警报,所以这些选项仅是服务器端。 通过syslog发送警报 Sysl...
OSSEC文档——日志监控/分析
c1052981766的专栏
02-28 3420
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/index.html日志监控/分析 日志分析(或日志检查)由日志收集和分析过程在OSSEC中完成。第一个收集事件,第二个进行分析(解码、筛选和分类)。 它是实时完成的,因此一旦事件被编写,OSSEC就会处理它们。OSSEC可以从内部日志文件中读取事件,从Windows事件...
OSSEC文档——过程监控
c1052981766的专栏
02-28 1121
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/process-monitoring.html过程监控 概述 在OSSEC中,我们将一切都看作是一个日志,并按照我们的规则对它进行适当的解析。但是,有些信息在日志文件中是不可用的,但是我们仍然需要监视它。为了解决这一差距,我们增加了通过OSSEC监视命令输出的能力,并...
基于Docker搭建Graylog分布式日志采集系统
最新发布
weixin_44876263的博客
08-28 4152
Graylog是一个开源的日志管理工具,主要功能包括日志收集、解析、存储、搜索和可视化。它可以从各种数据源(如应用程序、系统和网络设备)收集日志,通过内置的解析器将日志格式化并存储在数据库中。用户可以使用其强大的搜索功能快速查找特定日志,设置告警规则以监控关键事件,且支持创建自定义仪表板和图表以可视化数据。这样,Graylog帮助用户实时监控系统健康,快速定位问题源,并进行深入分析。部署 graylog 最简单的架构就是单机部署,复杂的就是部署集群模式,架构图如下所示。
Graylog日志系统超详细部署和配置
kim_liao123的博客
09-19 1582
Graylog日志系统部署和配置 1.软件介绍: Graylog是一个开源的日志聚合、分析、审计、展现和预警工具。功能上和ELK类似,但又比ELK要简单,依靠着更加简洁,高效,部署使用简单; 官方文档:https://docs.graylog.org/en/3.3/pages/users_and_roles.html 以下所有部署方式都来源官方文档 2.软件准备: 服务端: Mongo:存储graylog的一些配置信息 Elasticsearch:存储日志数据,数据持久化,检索 Graylog:grayl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值