本文继续讨论Sensor传感器插件的导入问题。例如你将mysql数据库备份到test.sql文件里,你就可以用下面方法还原:
#mysql < test.sql
也可以在mysql的提示符下用SOURCE命令来加载 SQL文件。但如果压缩了SQL文件如何还原呢?是不是要先解压缩在加载呢?我们完全可以用一个单独的操作一气呵成,例如:
#gunzip –c test.sql.gz | mysql
有了上面的基础,大家再看个实际应用。Ossim 在安装后期通过一些sql语句集中导入插件,在导入完毕放置在/usr/share/doc/ossim-mysql/contrib./plugins/目录下,扩展名为sql.gz,如果发现某些插件需重新导入数据库可以先用gunzip命令解压sql.gz文件,再使用ossim-db <file.sql方式导入。如果是新插件怎么办,你就复制一个功能类似插件,然后修改sql代码,在导入数据库。
你或许会思考,如果只还原单独的表(例如表asset)又会怎样?看看如下操作:
#grep ‘INSERT INTO `asset`’ test.sql |mysql test
或者文件是压缩的:
#gunzip –c test.sql.gz |grep ‘INSERT INTO `asset`’|mysql test
注意test 代表实例数据库名称。一旦MySQL加载完数据,gunzip就会自动退出。
新建插件文件
#cd /etc/ossim/agent/plugins
#cp syslog.cfg myexample.cfg
修改新插件参数
;; Building Plugins MyExample
;; plugin_id: 9001
;; type: detector
[DEFAULT]
plugin_id=9001
[config]
type=detector
enable=yes
source=log
# Enable syslog to log everything to one file. Add it to log rotation also.
# echo "*.* /var/log/all.log" >> /etc/syslog.conf; killall -HUP syslogd
#location=/var/log/all.log
location=/var/log/last_logon.log
... ...
然后在Ossim Agent 上注册插件
修改/etc/ossim/agent/config.cfg文件。
在【plugins】中加入插件
myexample=/etc/ossim/agent/plugins/myexample.cfg
然后打开ossim-setup配置程序,选择:Configure Sensor-Select Data Sources,然后通过翻页建找到myexample插件,并选中,保存退出。
在Ossim Server端注册插件
首先复制现有的SQL脚本来建立新的数据结构
#cd /usr/share/doc/ossim-mysql/contrib/plugins
#cp syslog.sql myexample.sql
注意如果是syslog.sql.gz需要先解压,接下来获取列表插件配置文件中定义的规则。
#grep '^[' /etc/ossim/agent/plugins/myexample.cfg
[DEFAULT]
[config]
[Rule 01 - Console Session Open]
[Rule 02 - Console Session Closed]
[Rule 03 - New User Session - IP]
[Rule 04 - New User Session - hostname]
[Rule 05 - User Session Closed - IP]
[Rule 06 - User Session Closed - hostname]
[Rule 07 - Reboot Detected]
具有相同的plugin_sid规则需要一条SQL语句以及在plugin_sid中定义服务器,不同规则的,会由last返回源的IP或主机名。这是我们需要将myexample.sql倒入数据库中,使用如下命令:
#cd /usr/share/doc/ossim-mysql/contrib/plugins
#cat myexample.sql | ossim-db
如果有报错请检查sql语句是否有错误。
这是你可以在WEB界面下的数据源中查看这个插件,如下图所示。
当你看到上面这些信息是说明插件已成功添加,下面要重启服务即可生效。
#/etc/init.d/ossim-server restart 重启Ossim Server端
#/etc/init.d/ossim-agent restart 重启Agent端
最后就可以到SIEM控制台下查看日志。
更多OSSIM内容大家可参考:
《开源安全运维平台OSSIM疑难解析 提高篇(异步图书出品)》(李晨光)【摘要 书评 试读】- 京东图书item.jd.com