这里环境是ossim-server上面已经配置好了,open*** server也已经配置好了现在要在要在客户那里部署最简单的ossim-agent来实现对windows IISWebLog的收集:
1.把client.conf,ca.crt,client.crt,client.key放在/etc/open***目录下面,然后重启open***:/etc/init.d/open***.查看网卡ifconfig现在就能看到客户端已经连上***获取了地址了。
2.修改/etc/rsyslog.conf配置文件,确保UDP的514端口是打开的,也就是
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514     //确保这两行没有被注释掉
然后在rules后面添加
$EscapeControlCharactersOnReceive off  
if $rawmsg contains 'IISWebLog' then /var/log/iisweb.log 
if $rawmsg contains 'id=tos' then /var/log/topsec.log
重启rsyslog:/etc/init.d/rsyslog restart
3.修改/etc/ossim/ossim_setup.conf把里面的
[framework]
framework_https=yes
framework_ip=20.20.20.1    //设置为***服务器的ossim-server的IP地址
framework_port=40003
4.修改/etc/ossim/agent/config.cfg
[control-framework]
enable=True
id=test-agent
ip=20.20.20.1       //设置为ossim-server的IP地址
port=40003
[plugin-defaults]
date_format=%Y-%m-%d %H:%M:%S
interface=eth0
ossim_dsn=mysql:localhost:ossim:root:
sensor=20.20.20.10     //设置为自己获取到的×××地址
tzone=0
5.把插件放入/etc/ossim/agent/plugins目录下面,这里可以放入IIS.cfg和topsec.cfg的插件
重启agent:/etc/init.d/ossim-agent,之后查看agent上面是否已经获取到日志了
tail -f /var/log/ossim/agent.log