我对ossim很新。我已经将ossim 3.1安装到虚拟机(vmware)
上我有两个问题:
1)我从ossim-setup启用了SYSLOG。现在我在ANALYSIS->中获得大量的系统日志消息。 SIEM。 如何修改日志记录率?我该如何管理syslog配置?我找了syslog conf文件,但没有。我只能找到rsyslog文件。 此外,如果我做
alienvault:~# ps aux | grep sys
root 3481 0.1 0.0 2492 1416 ? S 08:51 0:12 /var/ossec/bin/ossec syscheckd
root 5951 0.0 0.0 35512 1416 ? Sl 08:58 0:00 /usr/sbin/rsyslogd -c3 -x
root 18427 0.0 0.0 1716 636 pts/0 S+ 11:29 0:00 grep --color=auto sys
我知道只有rsyslogd正在运行
2)我已经从ossim-setup启用了Dionaea,我试图将其日志发送到ossim而没有任何结果。 我怎样才能做到这一点? 在那之后,我想做其他事情让ossim将Dioanea的日志与其他日志相关联吗?
谢谢
答案 0 :(得分:9)
检查远程服务器上的rsyslog配置(默认情况下,它位于/etc/rsyslog.conf)。它可能使用UDP或TCP。如果是UDP,请使用
*.* @hostname:<port>
如果是TCP,
*.* @@hostname:<port>
您可以通过查看行 -
来获取端口号$UDPServerRun <port>
$TCPServerRun <port>
您可以根据Dioanea服务器的主机名或IP地址使用Rsyslog设置过滤规则,并将其写入单独的文件(如果这就是您想要的)。
答案 1 :(得分:6)
可以非常轻松地设置rsyslog的日志转发。您需要编辑/etc/rsyslog.conf文件并添加以下行:
*.* @@remote-host:514
它将设置本地rsyslog以将所有 syslog消息转发到“remote-host”,514是rsyslogd服务器的端口号。您可以在要从中发送日志的所有客户端上添加上述行。您可以在The official Rsyslog Project Website
答案 2 :(得分:0)
最近有一个补丁,可让您将Dionaea事件发送到syslog:
http://sourceforge.net/p/nepenthes/mailman/message/32024205/