ossim收集linux日志,ossim的日志处理流程

最新推荐文章于 2024-04-22 11:46:02 发布
最新推荐文章于 2024-04-22 11:46:02 发布
阅读量445 收藏
点赞数
文章标签: ossim收集linux日志

设备把日志信息以syslog的形式发给agent,日志存储在agent上面的/var/log/xxx.log下面,agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志,然后根据插件

里面写的正则表达式来提取日志的关键字段发给server,server再将日志分析之后在ossim上面呈

现出来

/etc/ossim/agent/plugins下面的插件,这些是系统自带的还可以自己来编写插件,核心是掌握正则表达式的写法,能够根据不同的日志来提取自己感兴趣的内容。

aladdin.cfg         lucent-brick.cfg        pureftpd.cfg

allot.cfg           m0n0wall.cfg            radiator.cfg

apache.cfg          malwaredomainlist.cfg   raslogd.cfg

arpalert.cfg        mcafee-antispam.cfg     realsecure.cfg

arpwatch.cfg        mcafee.cfg              rrd.cfg

arpwatch_eth0.cfg   modsecurity.cfg         rsa-secureid.cfg

avast.cfg           moodle.cfg              serviceguard.cfg

bind.cfg            motion.cfg              session-monitor.cfg

bro-ids.cfg         mwcollect.cfg           sidewinder.cfg

cisco-acs.cfg       nagios.cfg              siteprotector.cfg

cisco-ids.cfg       nepenthes.cfg           sitescope.cfg

cisco-ips.cfg       nessus-detector.cfg     snare.cfg

cisco-pix.cfg       nessus-monitor.cfg      snort_syslog.cfg

cisco-router.cfg    netgear.cfg             snortunified.cfg

cisco-***.cfg       netscreen-firewall.cfg  snortunified_eth0.cfg

clamav.cfg          netscreen-manager.cfg   sonicwall.cfg

clurgmgr.cfg        netscreen-nsm.cfg       sophos.cfg

courier.cfg         nmap-monitor.cfg        spamassassin.cfg

cyberguard.cfg      nortel-switch.cfg       squid.cfg

dhcp.cfg            ntop-monitor.cfg        squidGuard.cfg

dragon.cfg          ntsyslog.cfg            ssh.cfg

exchange.cfg        ocs-monitor.cfg         stonegate.cfg

f5.cfg              openldap.cfg            sudo.cfg

fidelis.cfg         opennms-monitor.cfg     symantec-ams.cfg

forensics-db-1.cfg  optenet.cfg             symantec-epm.cfg

fortigate.cfg       oracle1.cfg             syslog.cfg

fw1-alt.cfg         oracle.cfg              tarantella.cfg

fw1ngr60.cfg        osiris.cfg              tcptrack-monitor.cfg

gfi.cfg             ossec.cfg               tippingpoint.cfg

heartbeat.cfg       ossim-agent.cfg         topsec.cfg

honeyd.cfg          ossim-monitor.cfg       trendmicro.cfg

hp-eva.cfg          p0f.cfg                 vmware-workstation.cfg

iis.cfg             p0f_eth0.cfg            vsftpd.cfg

intrushield.cfg     pads.cfg                vyatta.cfg

ipfw.cfg            pads_eth0.cfg           webmin.cfg

iphone.cfg          paloalto.cfg            whois-monitor.cfg

iptables.cfg        pam_unix.cfg            wmi-application-logger.cfg

ironport.cfg        panda-as.cfg            wmi-monitor.cfg

isa.cfg             panda-se.cfg            wmi-security-logger.cfg

juniper-***.cfg     pf.cfg                  wmi-system-logger.cfg

kismet.cfg          ping-monitor.cfg

linuxdhcp.cfg       postfix.cfg

要让agent调用某个插件只需要在这个文件里面写上插件的路径就可以了

/etc/ossim/agent/config.cfg 一下展示部分插件的调用:

[plugins]

arpwatch_eth0=/etc/ossim/agent/plugins/arpwatch_eth0.cfg

nmap-monitor=/etc/ossim/agent/plugins/nmap-monitor.cfg

ntop-monitor=/etc/ossim/agent/plugins/ntop-monitor.cfg

oracle=/etc/ossim/agent/plugins/oracle.cfg

ossec=/etc/ossim/agent/plugins/ossec.cfg

ossim-monitor=/etc/ossim/agent/plugins/ossim-monitor.cfg

p0f_eth0=/etc/ossim/agent/plugins/p0f_eth0.cfg

pads_eth0=/etc/ossim/agent/plugins/pads_eth0.cfg

pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg

ping-monitor=/etc/ossim/agent/plugins/ping-monitor.cfg

squid=/etc/ossim/agent/plugins/squid.cfg

ssh=/etc/ossim/agent/plugins/ssh.cfg

sudo=/etc/ossim/agent/plugins/sudo.cfg

whois-monitor=/etc/ossim/agent/plugins/whois-monitor.cfg

wmi-monitor=/etc/ossim/agent/plugins/wmi-monitor.cfg

wwhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java监控Linux系统的日志,java监控linux日志
weixin_31411313的博客
05-06 738
java监控linux日志[2021-02-08 09:05:27]简介:系统运维《UNIX/Linux网络日志分析与流量监控》实验环境下载1.Ossim 4.1 虚拟机下载(适合2~4G内存的服务器运行),该虚拟机压缩包内建站服务器这篇文章主要介绍Linux实时查看日志的命令有哪些,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!查看日志linux命令是:tail命...
【网络安全】OSSIM平台网络日志关联分析实战
HBohan的博客
04-25 5084
一、网络安全管理中面临的挑战 目前很多组织都已经拥有了防火墙、入侵检测、防病毒系统、网管软件,但是网络管理者在安全追根溯源及安全管理面临如下挑战: 1 .安全设备和网络应用产生的安全事件数量巨大,误报严重。一台IDS系统一天产生的安全事件数量近成千上万。通常99%的安全事件都是误报。真正有威胁的安全事件淹没于海量信息中难于识别。 安全事件之间存在的横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实现实时预测。一个攻击活动之后常常接着另一个攻击活动,前一个攻击活动为后
开源OSSIM系统具备日志采集和分析的能力吗?
李晨光原创IT博客
11-12 516
首次安装完OSSIM系统之后,进入WebUI界面发现RAWLogs菜单下没有内容,不免会心存疑虑,开源OSSIM是否具备日志采集和分析的能力。 RAW LOGS是一个原始日志可视化展示的模块,在商业版的OSSIM提供,开源版不提供此功能。开源版OSSIM具备完整的日志采集处理和分析的能力。 下面我们以收集分析Linux下的SSH日志为例进行说明。以下是一台以 All IN ONE 模式安装的开源OSSIM 5.0为例。 Linux下SSH远程登录服务器失败的日志记录在/var/log/aut
利用OSSIM收集分析远程apache日志
weixin_34128534的博客
11-10 261
利用OSSIM收集分析远程apache日志(视频教程) 环境: OSSIM Server : 192.168.11.228 日志搜集器 Http Server : 192.168.11.15 日志发生器 实验拓扑: 功能: 通过设置192.168.11.15机器上的rsyslog转发到192.168.11.228实现日志收集,利用...
利用OSSIM收集分析远程apache日志(视频教程)
weixin_34272308的博客
06-20 128
利用OSSIM收集分析远程apache日志(视频教程)环境:OSSIM Server : 192.168.11.228 日志搜集器Http Server   : 192.168.11.15     日志发生器 实验拓扑: 功能:通过设置192.168.11.15机器上的rsyslog转发到192.168.11.228实现日志收集,利用apache 插件归一化处理并入库分析。时长: 约14分钟浏览地...
基于OSSIM平台下华为交换机日志收集插件的开发
weixin_34367257的博客
02-28 253
       基于OSSIM平台下华为交换机日志收集插件的开发        长期以来,大家在收集华为交换机日志是往往通过syslog协议转发的方式,将华为交换机日志转发到日志收集器上,简单存储,但这样并没有将日志标准化,也就是OSSIM中对日志的归一化处理,在《开源安全运维平台-OSSIM最佳实践》一书的第七章专门讲解了日志收集与插件的自定义,本文将继续本书内容,为大家分享华为交换机插件,根据书...
基于OSSIM平台下H3C华三交换机日志收集插件编写
weixin_34216107的博客
02-29 224
 基于OSSIM平台下H3C华三交换机日志收集插件编写 大家在具有上一篇《基于OSSIM平台下华为交换机日志收集插件的开发》 基础之后,下面继续分享H3C交换机插件的内容: [DEFAULT]plugin_id=1712[config]type=detectorenable=yessource=loglocation=/var/log/h3c-switch.logcreate_file=yespr...
Linux日志分析与视频分享资料
07-23
### Linux日志分析关键知识点详解 #### 一、引言 在现代IT环境中,日志文件扮演着极其重要的角色,特别是在Linux系统下。通过分析这些日志,管理员能够监控系统的健康状况、诊断问题以及防范安全威胁。本文将详细...
OSSIM介绍
热门推荐
Alan Zhuang的博客
02-01 1万+
(一)OSSIM 介绍:     OSSIM (OPEN Source Sevurity Informatiion System):开源安全信息管理系统,由美国的Alien Vault公司开发,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志,识别并解决重大安全事件(优先级,标识出有问题的日
编译好的OSSIM (win10)
01-21
1. **ossim-daemons**: 这是OSSIM的核心服务,包括数据收集器(如syslog-ng、logstash)、数据解析器(如ossim-sqlite)和事件生成器(如ossim-normalizer)。它们负责从不同来源获取日志和其他安全相关数据,并对其...
Ossim java_日志收集关于OSSIM和ELK?
weixin_29985807的博客
02-19 223
如果要用开源,自己动手,就用ELK。如果想省事,追求更多功能,又不缺钱,用Splunk。(如果日数据量低于500M,Splunk可免费用)具体参考 :增加一些初步感受:关于开源:OSSIM的code在 ossimlabs/ossim 早期的代码好像还在sourceforge上也就是说,这个项目相对比较老,当然你也可以说它更成熟。关于UI这个UI看上去离现代的WebUI差距比较大,至少在这个开源版本...
OSSIM5.0 重要日志加入到知识库
Alan Zhuang的博客
12-15 1309
OSSIM系统中采用了共享信息的接口,称之为知识库(KBD),知识库是具有一定智能的信息安全管理软件,在开源领域中目前只有OSSIM系统具有基于知识的系统。在此之前进行安全评估和漏洞分析时,经常会碰到对于海量信息查找缓慢,查找效率底下等问题,如今在Ossim中使用了知识库提高了我们分析问题的速度。知识库往往通过关联分析引擎联动,为应急响应提供了知识保障。
ossim日志处理流程
weixin_34281477的博客
09-20 191
设备把日志信息以syslog的形式发给agent,日志存储在agent上面的/var/log/xxx.log下面,agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志,然后根据插件 里面写的正则表达式来提取日志的关键字段发给server,server再将日志分析之后在ossim上面呈 现出来 ...
OSSIM中一条日志的发展历程
08-22 86
OSSIM中一条日志的发展历程 转载于:https://my.oschina.net/chenguang/blog/3095913
ossim agent的插件和日志格式化过程
anzhuangguai的专栏
10-13 2127
主要流程: 1 设备把日志信息以syslog的形式发给agent, 2 日志存储在agent上面的/var/log/xxx.log下面, 3 agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志, 4 然后根据插件里面写的正则表达式来提取日志的关键字段发给server,server再将日志
OSSIM5.8.11学习&测试
最新发布
网安小白的博客
04-22 1098
OSSIM5.8.11学习及功能测试~
OSSIM轻松分析网络设备日志
weixin_33716557的博客
11-04 692
OSSIM轻松分析网络设备日志      基于插件的日志收集处理模式,使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志,下面展示一些硬件设备日志的实例,我们在RAW LOG界面里,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件,你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。 在系统中通过...
OSSIM总体介绍
ITSM/ITIL/网络安全/IT运维
11-17 2194
OSSIM布道师 李晨光 一、背景 如果运维工程师手里没有高效的管理工具支持,就很难快速处理故障。市面上有很多运维监控工具,例如商业版的 Solarwinds、ManageEngine以及WhatsUp等,开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。 由于它们彼此之间所生成的数据没有关联,无法共享,即便部署了这些工具,很多运维人员并没有从中真正解脱出来,成千上万条警告信息堆积在一起,很难识别问题的根源,结果被海量日志所淹没,无法解脱出...
OSSIM开源安全管理系统详解与实践
4. 日志分析:收集和分析来自不同系统的日志,以发现异常活动和潜在威胁。 5. 安全策略配置:允许用户定义和实施安全策略,以保护网络和数据。 6. 威胁情报交换:与其他安全系统或服务交换威胁情报,提高威胁响应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值