ossim收集网络设备日志

ossim收集网络设备日志

港真的,太气了。现在国内博客互相抄袭,而且关键点都不说!!我费了好大好大的劲,凭借我的机智才搞通cisco到ossim sensor的日志流。王炸!

0x01 版本和架构

ossim server

Alt text

ossim sensor

Alt text

网络设备
cisco-asa

0x02原理
网络设备把日志打到ossim sensor,sensor通过rsyslog服务接受,normalized处理完到ossim的log里面

0x03ossim配置步骤

ssh登录到sensor上,进入shell界面
查看cisco-asa对应的插件配置文件里写配置的日志文件路径,我这里是这样的

Alt text
注意一下,上图中的文件位置很重要,要和rsyslog中配置的路径一毛一样

接下来编辑rsyslog的配置文件,在rsyslog.d目录下面新建一个,文件名随意,当然一般情况下,为了一目了然和后期的维护,一般都是以数据源的名字来做文件名

vim /etc/rsyslog.d/<dataSource_name>.conf

把下面这段配置结合你的需求贴进去

if ($fromhost-ip == ‘cisco的ip‘’) then /var/log/cisco-asa.log
& ~

保存后退出

重启rsyslog

/etc/ini.d/rsyslog restart

接下来还得配置agent的配置文件,把插件启用,不然都是白搭

vim /etc/ossim/agent/config.cfg

在[plugins]中根据它的格式添加上cisco-asa对应插件的绝对路径

Alt text

配置完这一步,要重启agent

/etc/init.d/ossim-agent restart

这时候可以在rsyslog配置的cisco的路径下看到日志进来了。怎么看它有没有解析呢~
用这个命令

cat /var/log/alienvault/agent/agent.log | grep ‘plugin_id=”1636”’ | more

Alt text

日志已经normalize啦,再去ossim的web界面就可以看到和cisco相关的日志啦

Add a Comment

电子邮件地址不会被公开。 必填项已用*标注