上QQ阅读APP看书,第一时间看更新
3.4 Ossec日志
Ossec是一款开源的多平台入侵检测系统。将Ossec的监测报警信息转发到ELK中,无疑可以极大地帮助我们快速可视化安全事件。本节介绍Ossec与Logstash的结合方式。
3.4.1 配置所有Ossec agent采用syslog输出
配置步骤如下:
1)编辑ossec.conf文件(默认为/var/ossec/etc/ossec.conf)。
2)在ossec.conf中添加下列内容(10.0.0.1为接收syslog的服务器):
<syslog_output> <server>10.0.0.1</server> <port>9000</port> <format>default</format> </syslog_output>
3)开启Ossec允许syslog输出功能:
/var/ossec/bin/ossec-control enable client-syslog
4)重启Ossec服务:
/var/ossec/bin/ossec-control start
3.4.2 配置Logstash
在Logstash配置文件中增加(或新建)如下内容(假设10.0.0.1为Elasticsearch服务器):
input {
udp {
port => 9000
type =>“syslog”
}
}
filter {
if [type] == “syslog” {
grok {
match => { “message” =>“%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:
syslog_host} %{DATA:syslog_program}: Alert Level: %{BASE10NUM:
Alert_Level}; Rule: %{BASE10NUM:Rule} - %{GREEDYDATA:Description};
Location: %{GREEDYDATA:Details}” }
add_field => [ “ossec_server”, “%{host}” ]
}
mutate {
remove_field => [ “syslog_hostname”, “syslog_message”, “syslog_pid”,
“message”, “@version”, “type”, “host” ]
}
}
}
output {
elasticsearch {
}
}
3.4.3 推荐Kibana仪表盘
社区已经有人根据Ossec的常见需求制作了仪表盘,可以直接从Kibana 3页面加载使用,示例如图3-1所示。
仪表盘的JSON文件见:https://github.com/magenx/Logstash/raw/master/kibana/kibana_dash-board.json。
qrbodyPicKibana的相关内容。
图3-1 Ossec仪表盘