用OSSIM轻松分析网络设备日志

最新推荐文章于 2024-01-24 15:36:37 发布
最新推荐文章于 2024-01-24 15:36:37 发布
阅读量621 收藏
点赞数
文章标签: 操作系统 python
原文链接:https://my.oschina.net/chenguang/blog/613902
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

用OSSIM轻松分析网络设备日志

 

     基于插件的日志收集与处理模式,使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志,下面展示一些硬件设备日志的实例,我们在RAW LOG界面里,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件,你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。

 wKioL1ZerayBgt99AADWgrysEaU962.jpg

wKioL1Y5hFOR2TLoAAMI66eCEFA972.jpg

在系统中通过饼图将各类日志直观的展现给用户,便于查阅。

wKiom1Y5hRXBYdpDAAJorXyp7NY761.jpg

从网络设备日志收集的日志,经过插件归一化处理之后,转换为标准化事件,

wKioL1Y5hwqTxu_NAARV2lxlShI903.jpg

wKiom1Y5hsyDtS3GAAT-1Ow89W8866.jpg

wKioL1Y5hwrgHiN0AAMIwMWpRIo558.jpg

上面显示的这十几个大类,仅通过事件名就能猜出来吧。下面,我们以ASA:ICMP Denied事件为例,看看深入发现什么端倪。首先这种ICMP事件发生了11,189次,而且每条事件详情如下图所示。

wKiom1Y5hsyDbDm6AAM-tUUyG3E987.jpg

其实原始日志为:

Aug 24 22:26:59 Sensor %ASA-3-313001: Denied ICMP type=8, code=0 from x5.y6.z41.13 on interface outside

如果让你长期看这些单调的原始日志,肯定会发疯的。还是Cisco ASA插件帮忙,才能把日志处理的如此利索。插件到底是个什么东西?下面看个例子(以OSSIM中 Cisco ASA插件为例)

插件位置:
/etc/ossim/agent/plugins/cisco-asa.cfg

该插件适用范围:
Cisco ASA _5500 7.0 7.1 7.2
Cisco ASA_5510 - 各个版本

插件ID编号:1636

插件类型:detector

原始日志存储位置:/var/log/cisco-asa.log

 下面是处理这条日志的正则表达式:

wKiom1Y6sEzCh8xZAAIUNVVPaus561.jpg

为了深入分析,下一步就要知道这类日志产生的频率以及变化趋势,要实现就交给Timeline吧。

wKioL1Y5iSaxGtgqAARn3pir09k912.jpg

加入过滤条件:筛选出某一天内所有的Cisco ASA事件情况,用sed,grep命令去编写脚本吗?No,实现起来非常easy! 如下图所示。

wKioL1ZT5yLikQJBAAW5CQaW74c797.jpg

收集cisco交换机日志

wKiom1Y6ASTi0_sSAAS3Zqxab1w520.jpg

 一旦思科设备的配置被修改,立即会发出报警

wKiom1ZdqsaxOGRaAALlZebiWFk872.jpg

下面是OSSIM中收集的飞塔(Fortinet)防火墙日志分类:

wKiom1Y5kTGQl6AxAATaNOqhPok341.jpg

入库的无线AP的事件

wKiom1Y5kXOAZvduAAQs-ztrIU4774.jpg

 注意:不支持中文日志。

好了,类似Cisco ASA这样的插件系统里到底有多少呢?我们看看下面的图示。

wKioL1Y5spTSYWARAA964Fb41Pc785.jpg

更多OSSIM有趣的内容请参考畅销书《Unix/Linux网络日志分析与流量监控》。

本文出自 “李晨光原创技术博客” 博客,谢绝转载!

转载于:https://my.oschina.net/chenguang/blog/613902

weixin_34279061
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
network-device-logs:网络设备的记帐日志分析
03-27
网络设备日志记录和分析网络设备中查找对手的方法 概述 网络设备也是端点。 这些是简单的Sigma规则,可帮助您在路由器或交换机上使用Syslog和AAA日志进行检测以找到使用对手的技术。 这项研究特定于Cisco设备,但是该理论很容易扩展到其他供应商。 MITRE ATT&CK模型 MITER ATT&CK现在具有一个“网络设备企业矩阵”,以映射对手如何利用网络设备。 但是,其他企业矩阵中有许多技术没有列为网络平台,但是很容易在网络设备上实现。 西格玛规则 在rules目录中,有13条规则映射到37 MITER ATT&CK Techniques。 它们均以Sigma格式编写,与SIEM无关。 它们全部基于您当前或将要从网络设备收集Syslog和AAA日志(特别是“ Accounting”日志)的假设。 AAA记录参考 要了解有关TACACS和RADIUS的更多信息,请参阅此。 参考
华为和华三网络设备日志解析器
08-07
可打开交换机收集的日志分析故障,给需要的同类们!
OSSIM系统用户审计
weixin_33805992的博客
06-24 98
OSSIM系统用户审计 注意CODE下方的数字表示审计代码。审计代码分类如下图所示。今后谁在高峰期启动了漏扫,出现了问题,别再不承认喏。不过这种审计局限于WebUI下操作。...
数通网络实践之日志收集与分析
02-27
收集日志不仅可以用于故障定位,也可以用来检查网络设备的运行状况和定期巡检。收集日志分析日志,是网络专业技术人员的必备基础技能。 本文档适用于华为和华三设备,他们提供了一个打印诊断信息的命 令,这个命令相当于批处理程序,它把多个display命令都封装在一个 命令中执行,省去了工程师逐个display的麻烦。这也是唯一一个无论如何都不可以忘记的命令,当你无能为力的时候这个命令可以为远程协助你的人提供重要的定位信息。
OSSIM浏览分析
07-10
OSSIM 开源安全信息管理系统,对开源软件产品进行集成,提供一种能够实现监控功能的基础平台。
原创:Ossim在企业网络安全领域中的应用
05-17
Ossim在企业网络安全领域中的应用,原创PPT
OSSIM中文汉化版
03-06
1. **日志聚合**:OSSIM可以收集来自多个网络设备和应用的日志数据,集中在一个平台上进行分析,便于监控网络活动和潜在威胁。 2. **实时警报**:通过对收集到的日志数据进行实时分析OSSIM能及时发现异常行为,...
ossim.zip_ossim_zip
09-20
**ossim.zip_ossim_zip** 是一个与操作系统模拟(OS Simulator)相关的压缩包,它包含了一个名为 "ossim" 的文件或目录。这个模拟器主要用于教育目的,帮助学习者理解操作系统的基本概念和工作原理。 操作系统...
OSSIM中文汉化
11-30
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!
华为-3com日志解释器V2.0.rar
09-02
软件介绍: 华为-3com日志解释器根据华为-3com公司 Commware V300R002 和V5版本的 syslog和tap日志规范设计,能够打开交换机收集的日志,用于故障分析等。不需要配置,对运行的Windows操作系统硬件和软件配置没有特定要求。本程序适用于华为-3com 设备的用户,华为-3com设备的用户可以自由使用该工具软件。程序的主要功能是对华为-3com 设备在运行期间产生的 syslog和tarp日志信息进行解释。目前尚不支持其他厂家的日志信息解释。V2.0版本新特性说明:       1:采用日志定义文件动态加载的方式,来满足日后产品新增特性的日志解释。使用说明:1:该工具解释的是 华为-3com设备在运行期间产生的 syslog/trap信息。 您在使用该工具前,需要准备一个这样的日志记录文件。保存为文本格式即可。该信息可以从 syslog服务器上得到,也可以从华为-3com设备控制口得到。 主界面:是主要的浏览界面和主要的操作界面。主界面显示的内容,和您打开的日志纪录文件的内容是一致的。本工具会自动识别您的日志文件格式,每识别出一条正确的日志,就会单独显示一行。您可以在主界里使用鼠标或者使用方向键来选择您感兴趣的日志。主界面提供复制、粘贴、删除、查找等标准的编辑功能。解释信息界面:该界面是主要的输出界面。所解释的日志是您在主界面上选中的日志,或是您在日志浏览树上选中的日志。解释信息包括:该日志的含义,产生该日志的原因,以及对操作员工的处理建议等。过滤操作界面:该工具还支持您按照一定的规则对日志信息进行过滤。目前支持按照 主机名、模块名、级别 分别对日志信息进行过滤,可以方便您对日志信息进行过滤查询。日志浏览树:华为-3com 公司针对 Commware 的各种版本,将会陆续推出各种日志定义文件。这棵树是用来浏览您所加载的 日志定义文件。3:解释 日志记录文件:请通过菜单:文件---打开文件,选择您准备要解释的 华为-3com 设备的历史日志信息记录文件。 打开后的日志信息显示在主界面里。您可以通过鼠标,或者光标选择某条记录,该日志纪录的解释,会出现在 解释界面里。这样可以方面您更好理解 华为-3com 设备的日常运行状况。4:编辑 日志记录文件:您可能想对日志记录文件作些编辑处理,去掉某些不重要的信息。这个工具支持 标准的文本编辑功能。您可以进行诸如 拷贝、粘贴、查找、保存 等操作。6:过滤日志:在您打开日志文件的同时,工具软件会自动分析文件里的日志格式,并对 主机名、模块名、日志级别 三项,分门别类进行统计。当文件打开操作完成后,工具会自动填写 这三个表格:您可以根据你的需要,从不同的表格里选择您想过滤到的日志项。6:浏览您加载的 华为-3com 设备日志定义:您可以直接在日志定义数上通过鼠标点击,选择您感兴趣的日志,分别察看。这个功能基本上相当于 对应的Comware版本和模块的 华为-3com 设备日志信息定义的电子书。7:加载和卸载 华为-3com 设备日志定义文件:您需要从华为-3com公司得到您所感兴趣的 日志定义文件,并加载到工具里去。只要正确加载了该定义文件,本工具软件就可以正确解释相应的日志信息了。8:个性化设计:您可以选择您喜欢的背景颜色,字体和颜色,窗口的大小,分隔栏的位置也可以调整。并且在下次启动工具软件时,会记住您上次的设置。记录文件是本文件夹里的 log.ini 文件。不推荐您手工修改该文件。如果想要恢复 工具软件 的确省配置,只要您删除该 log.ini 文件即可。9:工具运行说明:工具在打开、过滤 日志时,会在工具软件所在的文件夹里生成必要的临时文件,文件后缀是 .temp格式。这些文件就是过滤操作得到的结果文件,并且这些文件的内容将会显示到主界面上。在工具软件的运行当中,某些中间临时文件会被锁定,无法删除。当工具软件下次启动时,会自动清除这些临时文件。
H3C日志解释器
11-14
用于分析H3C设备所产生的日志信息,适合新手.
华为/H3C路由器debug信息详解
12-13
华为/H3C路由器debug信息详解,压缩包共17个文档,涉及全面。
利用OSSIM收集分析远程apache日志
weixin_34128534的博客
11-10 255
利用OSSIM收集分析远程apache日志(视频教程) 环境: OSSIM Server : 192.168.11.228 日志搜集器 Http Server : 192.168.11.15 日志发生器 实验拓扑: 功能: 通过设置192.168.11.15机器上的rsyslog转发到192.168.11.228实现日志收集,利用...
网络安全日志分析
最新发布
QuJJan的博客
01-24 2472
在安全领域,日志分析是指对系统、网络、应用程序等各种日志数据进行收集、解析和分析,以便检测和识别潜在的安全威胁或异常活动。安全设备日志分析:如防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)的日志,可以检测到潜在的攻击行为、异常流量、恶意软件传播等。:如路由器、交换机、防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等网络设备,它们记录网络流量、连接、安全事件等相关日志。:防火墙用于监控和过滤网络流量,它们可以记录进出网络的数据包,并提供源/目标地址、端口信息、连接状态等流量相关的日志
常用安全设备日志分析及组策略(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 2208
一、常用安全设备 1、防火墙 2、IDS入侵检测系统(被动) 3、IPS入侵防御系统(主动) 4、ACG(上网行为管理) 5、WAF(web应用防护系统) 6、蜜罐 二、反制手段 三、日志分析 1、事件查看器 2、常见事件ID 3、Linux系统日志 四、本地组策略编辑器
网管监控日志——日志
君逍遥o
10-12 972
记录日志到FLASH的功能,通常运用于客户网络中没有部署专门的日志服务器,网络设备节点少,维护量不大的场景;维护人员不用担心设备掉电后,无从追 溯曾经发生的异常事件,在日常维护,故障排查的时候能够方便的调用设备flash里面记录的日志
【elk】网络设备syslog日志收集
机智的埃努
11-15 5919
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
ossim关联分析算法流程
05-13
OSSIM(Open Source Software Image Map)关联分析算法的流程如下: 1. 数据预处理:对输入数据进行清洗、格式化等操作,以确保数据的质量。 2. 特征提取:从输入数据中提取有用的特征信息,以便进行后续的分析。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值