so senden Sie die Anmeldung bei einem remote-Protokoll-server durch rsyslog?
Ich bin sehr neu auf ossim. ich habe installiert ossim 3.1 auf einer virtuellen Maschine (vmware)
Ich habe 2 Fragen:
1) ich habe aktiviert SYSLOG von ossim-setup. Jetzt bin ich immer horde von syslog-Nachrichten in der ANALYSE-> SIEM.
Wie kann ich ändern, das logging-rate? wie kann ich verwalten syslog-Konfiguration? Ich sah für syslog-conf-Dateien, aber die gibt es nicht. Ich kann nur finden, rsyslog-Dateien.
Außerdem, wenn ich
alienvault:~# ps aux | grep sys
root 3481 0.1 0.0 2492 1416 ? S 08:51 0:12 /var/ossec/bin/ossec syscheckd
root 5951 0.0 0.0 35512 1416 ? Sl 08:58 0:00 /usr/sbin/rsyslogd -c3 -x
root 18427 0.0 0.0 1716 636 pts/0 S+ 11:29 0:00 grep --color=auto sys
Ich, dass nur rsyslogd läuft
2) habe ich aktiviert Dionaea von ossim-setup und ich bin versucht, senden Sie Ihre Protokolle ossim ohne Ergebnis.
Wie kann ich das tun?
Danach bin ich wohl etwas anderes tun zu lassen, ossim korrelieren log von Dioanea mit anderen Protokollen?
Danke
Du musst angemeldet sein, um einen Kommentar abzugeben.
Log-Weiterleitung von rsyslog kann problemlos eingerichtet werden. Sie Bearbeiten müssen
/etc/rsyslog.conf
- Datei und fügen Sie die folgende Zeile:Wird setup Ihren lokalen rsyslog weiterleiten alle syslog-Meldungen auf "remote-host",
514
ist die port-Nummer des server rsyslogd. Sie können fügen Sie die obige Zeile auf allen clients aus, wo Sie wollen die Protokolle gesendet werden sollen. Lesen Sie mehr darüber auf Die offizielle Rsyslog-Projekt-WebsiteÜberprüfen Sie die rsyslog-Konfiguration auf dem remote-server ( es ist standardmäßig unter /etc/rsyslog.conf ). Es kann über UDP oder TCP. Wenn es UDP, verwenden Sie
Wenn es TCP,
Können Sie die port-Nummern durch die überprüfung der line -
Können Sie die Einstellungen Filterregeln mit Rsyslog basierend auf dem Hostnamen oder die IP-Adresse Ihres Dioanea server und schreibt Sie in eine separate Datei (wenn es das ist, was Sie wollen).
Gibt es einen neueren patch gibt Ihnen die Möglichkeit zum senden von Dionaea-events an syslog:
http://sourceforge.net/p/nepenthes/mailman/message/32024205/