我正在设置要与Bro一起玩的Security Onion,但我想将日志发送到ELK之外的其他SIEM(默认情况下已安装在Security Onion上)。 Wiki sends you here,redirects you here。该页面只是说,如果要添加目标,请将其添加到/etc/syslog-ng/syslog-ng.conf中。所以我做到了:
destination d_elsa { program("sh /opt/elsa/contrib/securityonion/contrib/securityonion-elsa-syslog-ng.sh" template(t_db_parsed)); };
destination d_logstash { tcp("127.0.0.1" port(6050) template("$(format-json --scope selected_macros --scope nv_pairs --exclude DATE --key ISODATE)\n")); };
destination remote { udp("192.168.1.55" port(514)); };
顶部的两行是标准安全洋葱安装程序放在的那一行,我的另一行是第三行。但这不起作用。我尝试使用的名称不只是“远程”。我尝试了tcp和udp。我的其他SIEM不仅没有看到它,我什至尝试了tcpdump,而且很快就空了。我到处搜索,没有其他选择。有想法吗?
答案 0 :(得分:0)
您需要在日志语句中包括新目标。
syslog-ng具有三个基本对象:源(接收消息),目标(将消息发送/存储在某处)和将源连接到目标的日志语句