0

私はossimが初めてです。ossim 3.1 を仮想マシン (vmware) にインストールしました

2 つの質問があります。

1) ossim-setup から SYSLOG を有効にしました。現在、ANALYSIS-> SIEM で大量の syslog メッセージを取得しています。ロギング レートを変更するにはどうすればよいですか? syslog 構成を管理するにはどうすればよいですか? syslog conf ファイルを探しましたが、何もありません。rsyslog ファイルしか見つかりません。さらに私がするなら

alienvault:~# ps aux | grep sys
root      3481  0.1  0.0   2492  1416 ?        S    08:51   0:12 /var/ossec/bin/ossec syscheckd
root      5951  0.0  0.0  35512  1416 ?        Sl   08:58   0:00 /usr/sbin/rsyslogd -c3 -x
root     18427  0.0  0.0   1716   636 pts/0    S+   11:29   0:00 grep --color=auto sys

rsyslogd だけが実行されていることがわかりました

2) ossim-setup から Dionaea を有効にしましたが、そのログを ossim に送信しようとしましたが、結果はありません。どうやってやるの?その後、ossim が Dioanea からのログを他のログと関連付けるために、何か他のことをする必要がありますか?

ありがとうございました

4

3 に答える 3

9

リモートサーバーの rsyslog 構成を確認します (デフォルトでは /etc/rsyslog.conf にあります)。UDP または TCP を使用している可能性があります。UDP の場合は、

*.* @hostname:<port>

TCPなら、

*.* @@hostname:<port>

行をチェックすることでポート番号を取得できます-

$UDPServerRun <port>
$TCPServerRun <port>

Dioanea サーバーのホスト名または IP アドレスに基づいて Rsyslog でフィルタリング ルールを設定し、それを別のファイルに書き込むことができます (それが必要な場合)。

于 2013-07-22T02:11:19.890 に答える
6

rsyslog からのログ転送は、非常に簡単にセットアップできます。/etc/rsyslog.confファイルを編集して次の行を追加する必要があります。

*.* @@remote-host:514

すべてのsyslogメッセージを「remote-host」に転送するようにローカルrsyslogをセットアップします。これ514はrsyslogdサーバーのポート番号です。ログを送信したいすべてのクライアントに上記の行を追加できます。詳細については、Rsyslog プロジェクトの公式 Web サイトを参照してください。

于 2012-07-11T07:02:20.003 に答える
0

Dionaea イベントを syslog に送信できるようにする最近のパッチがあります。

http://sourceforge.net/p/nepenthes/mailman/message/32024205/

于 2014-03-17T20:59:46.537 に答える